Hoàng Doanh
Intern
Network Detection and Response (NDR) cung cấp khả năng giám sát và phát hiện các hoạt động bất thường trên lưu lượng mạng. Tuy nhiên, các sự kiện quan sát được trên mạng thường chỉ phản ánh hành vi giao tiếp giữa các thiết bị mà chưa cung cấp đầy đủ ngữ cảnh về tiến trình, tập tin hay người dùng thực hiện hành động đó.
Để nâng cao khả năng điều tra và ứng phó sự cố, Trend Vision One cho phép triển khai Endpoint Sensor trên các máy trạm và máy chủ. Endpoint Sensor thu thập telemetry từ hệ điều hành, tiến trình, tập tin và người dùng, từ đó bổ sung lớp visibility ở cấp độ endpoint cho nền tảng XDR.
Trong bài lab này sẽ thực hiện:
I. Vai trò của Endpoint trong kiến trúc NDR/XDR
II. Triển khai Endpoint Sensor
III. Mô phỏng Credential Dumping và quan sát Telemetry
IV. Quan sát Detection từ Endpoint Telemetry
V. Các khả năng Response mở rộng từ Endpoint
VI. Cấu hình Endpoint Security Policy
VII. Kết luận
Để nâng cao khả năng điều tra và ứng phó sự cố, Trend Vision One cho phép triển khai Endpoint Sensor trên các máy trạm và máy chủ. Endpoint Sensor thu thập telemetry từ hệ điều hành, tiến trình, tập tin và người dùng, từ đó bổ sung lớp visibility ở cấp độ endpoint cho nền tảng XDR.
Trong bài lab này sẽ thực hiện:
- Triển khai Endpoint Sensor lên máy Windows.
- Kiểm tra khả năng thu thập telemetry từ endpoint.
- Mô phỏng hành vi Credential Dumping bằng Mimikatz.
- Quan sát các cảnh báo được tạo ra trên Trend Vision One.
- Thực hiện Response Actions từ nền tảng XDR
I. Vai trò của Endpoint trong kiến trúc NDR/XDR
NDR có khả năng:
- Quan sát lưu lượng mạng.
- Phát hiện kết nối bất thường.
- Xác định các máy liên quan đến sự cố.
Tuy nhiên NDR thường không quan sát được:
- Tiến trình tạo ra kết nối mạng
- Người dùng thực hiện hành động
- Tập tin thực thi?
- Process Tree
Endpoint Sensor giúp bổ sung các thông tin này thông qua:
- Process Telemetry
- File Telemetry
- User Context
- Parent/Child Process Relationship
- Endpoint Response Actions
Nhờ đó Workbench có thể xây dựng Attack Graph hoàn chỉnh thay vì chỉ hiển thị các sự kiện mạng đơn lẻ.
II. Triển khai Endpoint Sensor
Bước 1: Tạo Standard Endpoint Protection Instance
Mở mục Product Instance trên Trend Vision One và tạo mới một Standard Endpoint Protection Instance.
Bước 2: Kiểm tra trạng thái Instance
Sau khi tạo thành công, trạng thái của Instance hiển thị là Connected.
Bước 3: Tạo bộ cài Agent
Truy cập:
Endpoint Inventory → Agent Installer
Chọn:
Deployment Method: Installer Package
Endpoint Group: Standard Endpoint Protection → SEP1 → Windows → Workgroup
Bước 4: Chọn hệ điều hành đích
Cấu hình:
Operating System: Windows
Architecture: 64-bit
Bước 5: Tải và giải nén bộ cài
Sau khi tải xuống và giải nén sẽ xuất hiện file EndpointBasecamp.exe.
Bước 6: Cài đặt Endpoint Agent
Chạy EndpointBasecamp.exe để tiến hành cài đặt Endpoint Sensor.
Bước 7: Khởi động lại
Sau khi cài đặt hoàn tất, Agent yêu cầu restart để kích hoạt đầy đủ các thành phần của agent.
Bước 8: Kiểm tra trạng thái Agent
Sau khi khởi động lại, mở giao diện Endpoint Agent và kiểm tra:
Endpoint Sensor = Running
Advanced Risk Telemetry = Running
Bước 9: Kiểm tra thông tin Endpoint trên Vision One
Truy cập Endpoint Inventory để xác nhận endpoint đã được đồng bộ.
III. Mô phỏng Credential Dumping và quan sát Telemetry
Để đánh giá khả năng cung cấp visibility của Endpoint Sensor, thực hiện lại kịch bản Reverse Shell đã xây dựng trước đó.
Bước 1: Tải công cụ Mimikatz
Trên phiên reverse shell chạy lệnh PowerShell tải tập tin mimikatz.exe.
Bước 2: Thực thi Mimikatz
Chạy tập tin mimikatz.exe trên shell.
Bước 3: Thực hiện Credential Dumping
Sử dụng module: sekurlsa::logonpasswords để truy xuất thông tin xác thực từ bộ nhớ LSASS.
IV. Quan sát Detection từ Endpoint Telemetry
Alert Credential Dumping
Sau khi thực hiện hành vi Credential Dumping, hệ thống OAT ghi nhận các cảnh báo liên quan:
Possible Credential Dumping via Mimikatz
PowerShell Outbound Connection
Khác với NDR chỉ quan sát lưu lượng mạng, Endpoint Sensor cung cấp thêm:
- Process Name
- Parent Process
- Process Path
- User Context
- Command Line
- File Information
Những dữ liệu này giúp analyst nhanh chóng xác định nguồn gốc của hành vi độc hại.
Workbench Case
Hệ thống tự động tạo một Workbench Case mới.
Trong phần Overview xuất hiện Attack Graph liên kết giữa:
- Endpoint
- Process
- User
- File
- Detection
thành một chuỗi tấn công hoàn chỉnh.
V. Các khả năng Response mở rộng từ Endpoint
1. Collect File
Khi chọn đối tượng mimikatz.exe trong Attack Graph, hệ thống cung cấp các hành động:
- Collect File
- Submit for Sandbox Analysis
- Run YARA Rules
Thu thập mẫu: Chọn Collect File. Sau khi hoàn tất, file được lưu tại Response Management và có thể tải xuống phục vụ điều tra.
2. Run YARA Rules
Cho phép tải lên YARA Rule để quét object trực tiếp trên endpoint.
3. Sandbox Analysis:
Sample mimikatz.exe được gửi tới Sandbox để phân tích động.
Sample mimikatz.exe được gửi tới Sandbox để phân tích động.
4. Check Execution Profile
Từ Workbench Case, chọn host object trên giao diện và sử dụng tính năng Check Execution Profile.
Execution Profile hiển thị:
- Danh sách OAT events
- Process Tree
- File Interaction
- Relationship giữa các process
Khi chọn từng node trên Attack Graph:
- Event tương ứng được highlight
- Detection Filter được hiển thị
- Thông tin Process/File chi tiết được cung cấp
Đây là một trong những khả năng mà NDR đơn thuần không thể cung cấp do không có telemetry ở cấp độ hệ điều hành.
5. Isolate Endpoint
Từ Workbench Case, chọn Isolate Endpoint.
Sau khi xác nhận, endpoint bị cô lập khỏi mạng. Kiểm tra trên máy endpoint, mọi kết nối mạng đều thất bại và PowerShell trả về thông báo General Failure khi cố tạo network traffic.
Điều này giúp ngăn chặn:
- Command & Control Communication
- Lateral Movement
- Data Exfiltration
trong quá trình điều tra sự cố.
VI. Cấu hình Endpoint Security Policy
Sau khi Endpoint Agent được cài đặt thành công, các thiết bị sẽ được gán vào một Endpoint Security Policy tương ứng.
Policy đóng vai trò xác định các chức năng mà Agent được phép sử dụng, mức độ thu thập telemetry cũng như các cơ chế phát hiện và phản ứng trên endpoint.
Danh sách Endpoint Security Policies
Tại mục Endpoint Security Policies, hệ thống hiển thị danh sách các policy hiện có đang được áp dụng cho các nhóm endpoint khác nhau.
Mỗi endpoint khi được triển khai sẽ kế thừa cấu hình từ policy tương ứng. Quản trị viên có thể chỉnh sửa policy để thay đổi hành vi thu thập dữ liệu hoặc kích hoạt các tính năng bảo mật bổ sung.
Trong phạm vi bài lab này, license hiện tại không hỗ trợ toàn bộ các tính năng Endpoint Protection và EDR nâng cao. Do đó chỉ tập trung vào các nhóm cấu hình có ảnh hưởng trực tiếp đến khả năng thu thập telemetry và bổ sung visibility cho nền tảng NDR/XDR.
1. Advanced Risk Telemetry
Advanced Risk Telemetry là thành phần chịu trách nhiệm thu thập dữ liệu bổ sung từ endpoint nhằm tăng cường khả năng quan sát và đánh giá rủi ro trên thiết bị.
Các chức năng đáng chú ý bao gồm:
Advanced Risk Telemetry
Thu thập thông tin phục vụ:
- Đánh giá tình trạng bảo mật của endpoint.
- Phát hiện các điểm yếu bảo mật và lỗ hổng tồn tại trên thiết bị.
- Hỗ trợ Attack Surface Discovery xây dựng bức tranh tổng thể về tài sản và rủi ro trong môi trường.
Executable Scanning and Hashing
Cho phép:
- Quét các tập tin thực thi trên endpoint.
- Thu thập hash của các executable.
- Bổ sung ngữ cảnh cho Attack Surface Discovery.
- Tăng khả năng nhận diện các ứng dụng và công cụ thực thi tồn tại trên thiết bị.
Đối với bài toán NDR/XDR, đây là nguồn dữ liệu quan trọng giúp liên kết hoạt động mạng với các tiến trình và tập tin cụ thể trên endpoint.
2. XDR for Endpoints (EDR)
Đây là nhóm cấu hình liên quan đến khả năng thu thập telemetry phục vụ phát hiện và điều tra mối đe dọa trên endpoint.
XDR for Endpoints
Khi được kích hoạt, Agent sẽ gửi dữ liệu hoạt động từ endpoint về Trend Vision One để phục vụ:
- Threat Detection
- Threat Hunting
- Incident Investigation
- Workbench Correlation
Dữ liệu này là nền tảng để tạo ra các OAT Detection, Workbench Alert và Attack Graph đã quan sát ở các phần trước của bài lab.
Monitoring Level
Monitoring Level quy định mức độ giám sát của Endpoint Sensor.
Các mức cấu hình bao gồm:
Level 1 – Cautious
Level 2 – Moderate (Recommended)
Level 3 – Aggressive
Level 4 – Extra Aggressive
Mức giám sát càng cao sẽ thu thập nhiều telemetry hơn và có khả năng phát hiện nhiều hành vi đáng ngờ hơn, tuy nhiên cũng làm tăng số lượng log và cảnh báo được tạo ra.
Trong môi trường vận hành thực tế, mức Moderate thường được khuyến nghị nhằm cân bằng giữa khả năng phát hiện và hiệu năng endpoint.
Deepfake Detector
Đây là tính năng bổ sung cho phép phân tích các cuộc gọi video nhằm phát hiện dấu hiệu sử dụng nội dung giả mạo bằng AI (Deepfake).
Tính năng này không nằm trong phạm vi đánh giá của bài lab nhưng được hiển thị như một thành phần thuộc nhóm XDR for Endpoints.
VII. Kết luận
Qua bài lab đã triển khai thành công Endpoint Sensor trên Trend Vision One và đánh giá khả năng bổ sung visibility cho hệ thống NDR. Kết quả cho thấy Endpoint Sensor không chỉ cung cấp thêm dữ liệu về file, process mà còn mở rộng đáng kể khả năng điều tra và phản ứng sự cố thông qua các tính năng như Attack Graph, Execution Profile, File Collection, Sandbox Analysis và Endpoint Isolation.
Sự kết hợp giữa NDR và Endpoint Telemetry giúp Trend Vision One xây dựng đầy đủ ngữ cảnh của chuỗi tấn công, từ đó nâng cao hiệu quả phát hiện, điều tra và ứng phó đối với các mối đe dọa hiện đại.
Đính kèm
Bài viết liên quan
Bài viết mới