SIEM/Log Management Cấu hình Alert gửi Telegram & Gmail

I. Mô Tả Yêu Cầu Của Bài Lab​

1. Mô tả sơ bộ bài lab​

• OpenSearch & Dashboards (v2.x trở lên).​
• Dữ liệu log đăng nhập (đã được đẩy vào OpenSearch Index).​
• Telegram Bot API Token & Gmail App Password.​

2. Mô tả vấn đề cần giải quyết​

Hiện nay, nhiều doanh nghiệp chỉ lưu trữ log mà không có cơ chế cảnh báo thời gian thực. Khi bị tấn công Brute Force, quản trị viên thường chỉ phát hiện ra khi hệ thống đã bị xâm nhập hoặc log đã quá lớn. Bài lab này giải quyết bài toán: Làm sao để nhận cảnh báo ngay khi có 5 lần đăng nhập thất bại trong vòng 5 phút?

II. Triển khai​

1. Đưa ra giải pháp bài lab​

Chúng ta sẽ sử dụng mô hình: Monitor -> Trigger -> Action.

• Monitor: Truy vấn dữ liệu từ Index mỗi phút một lần.
• Trigger: Kiểm tra điều kiện (Count > 5).
• Action: Gửi Payload dữ liệu sang Webhook của Telegram và SMTP của Gmail.

Hình 3. Flow Monitor → Trigger → Action

2. Triển khai kỹ thuật​

Bước 1: Tạo Telegram Destination Truy cập Alerting > Destinations, tạo Webhook với URL: [https://api.telegram.org/bot](https://api.telegram.org/bot)<Token>/sendMessage
Bước 2: Cấu hình Monitor (Extraction Query) Sử dụng Query DSL để lọc các sự kiện failed_login:

JSON
{
"query": {
"bool": {
"filter": [
{ "term": { "status": "failed" } },
{ "range": { "@timestamp": { "gte": "now-5m" } } }
]
}
}
}
Bước 3: Thiết lập Trigger & Action Dùng ngôn ngữ Painless để đặt điều kiện: ctx.results[0].hits.total.value > 5.

3. Tối ưu nội dung thông báo (Message Customization)​

Thay vì các thông báo mặc định khô khan, chúng ta cần định dạng nội dung gửi về Telegram sao cho kỹ thuật viên có thể nắm bắt trọng tâm sự cố chỉ trong 3 giây. Sử dụng cú pháp Mustache để trích xuất dữ liệu trực tiếp:
Mẫu Payload gửi Telegram:
Plaintext

[SOC-ALERT] PHÁT HIỆN DẤU HIỆU BRUTE FORCE
- Hệ thống: Production Cluster
- Loại sự kiện: Đăng nhập thất bại liên tục (Failed Login)
- Tổng số lần vi phạm: {{ctx.results.0.hits.total.value}}
- Khoảng thời gian: 5 phút gần nhất
- Trạng thái Trigger: {{ctx.trigger.name}}
Hành động khẩn cấp: Kiểm tra ngay danh sách IP tại [Link Dashboard] và thực hiện Block trên Firewall nếu cần thiết.

III. Kết Luận​

Việc thiết lập Alerting thành công giúp chúng ta chuyển từ thế bị động sang chủ động trong công tác giám sát an toàn thông tin. Giá trị thực tế cho doanh nghiệp nằm ở chỗ giảm thiểu tối đa thời gian phản ứng (MTTR - Mean Time To Respond) trước các cuộc tấn công tự động.
Bài học kinh nghiệm rút ra:

• Cấu hình Throttle (Giới hạn gửi tin): Đây là yếu tố sống còn để tránh tình trạng "Alert Fatigue" (quá tải cảnh báo). Nếu không cấu hình, một cuộc tấn công kéo dài có thể làm nghẽn kênh Telegram của đội ngũ vận hành.
• Lọc dữ liệu chi tiết (Granularity): Trong môi trường thực tế, nên bổ sung thêm trường source_ip hoặc target_user vào nội dung Alert để tăng tính xác thực cho việc điều tra.
• Bảo mật thông tin cấu hình: Tuyệt đối không để lộ API Token của Bot Telegram trong các tài liệu hướng dẫn nội bộ hoặc các file cấu hình công khai. Hãy tận dụng tính năng Keystore hoặc phân quyền chặt chẽ trên cụm OpenSearch.