Hoàng Doanh
Intern
Sau khi triển khai Virtual Network Sensor, chạy kịch bản mô phỏng tấn công và quan sát các alert trong Workbench, bước tiếp theo là cấu hình cơ chế thông báo để đội ngũ vận hành bảo mật có thể nhận được cảnh báo kịp thời.
Trong môi trường SOC thực tế, việc phát hiện alert trên dashboard là chưa đủ, vì analyst không thể luôn theo dõi portal liên tục. Do đó, Trend Vision One cung cấp tính năng Notifications, cho phép gửi cảnh báo qua các kênh như Email, Webhook hoặc Mobile khi có sự kiện bảo mật quan trọng được tạo ra.
Trong bài lab này, mình cấu hình tính năng gửi email khi có Workbench Alert, sau đó kiểm tra bằng cách tạo alert mới và xác nhận email cảnh báo đã được gửi về hộp thư.
I. Mục tiêu
II. Tổng quan về Workbench Alert Notification
III. Các bước thực hiện
Sau khi cấu hình notification, mình chạy lại kịch bản mô phỏng tấn công trước đó để tạo alert. Khi Workbench Alert được tạo, Trend Vision One gửi email cảnh báo đến địa chỉ đã cấu hình.
Email cảnh báo được gửi từ Trend Vision One có tiêu đề theo format tổng quát: <Company/Tenant Name> | Workbench | Alert Severity: <Severity> | Score: <Score> | Model: <Detection Model Name> | <Workbench ID> | <Reference ID> (do not reply)
Nội dung email bao gồm các thông tin chính:
Ngoài ra, email còn chứa các thông tin bổ sung đã được cấu hình trước đó gồm:
Ngoài ra, email còn cung cấp đường dẫn trực tiếp đến alert trên Trend Vision One console để analyst có thể mở nhanh Workbench Alert và tiếp tục điều tra.
V. Nhận xét
Tính năng gửi email khi có Workbench Alert giúp rút ngắn thời gian phát hiện và phản ứng của SOC analyst. Thay vì phải liên tục theo dõi dashboard, analyst có thể nhận thông báo trực tiếp qua email khi hệ thống phát hiện sự kiện quan trọng.
Một điểm hữu ích là email không chỉ thông báo rằng có alert mới, mà còn cung cấp nhiều thông tin điều tra ban đầu như severity, score, affected endpoint, highlighted objects, rule detection và MITRE ATT&CK techniques. Điều này giúp người nhận nhanh chóng đánh giá mức độ ưu tiên của alert trước khi truy cập vào console.
Trong môi trường SOC thực tế, việc phát hiện alert trên dashboard là chưa đủ, vì analyst không thể luôn theo dõi portal liên tục. Do đó, Trend Vision One cung cấp tính năng Notifications, cho phép gửi cảnh báo qua các kênh như Email, Webhook hoặc Mobile khi có sự kiện bảo mật quan trọng được tạo ra.
Trong bài lab này, mình cấu hình tính năng gửi email khi có Workbench Alert, sau đó kiểm tra bằng cách tạo alert mới và xác nhận email cảnh báo đã được gửi về hộp thư.
I. Mục tiêu
Mục tiêu của bài lab này là cấu hình cơ chế gửi thông báo qua email khi Trend Vision One tạo mới Workbench Alert.
Sau khi hoàn thành bài lab, ta có thể:
- Bật thông báo cho loại cảnh báo Workbench Alert.
- Thêm email người nhận cảnh báo.
- Cấu hình các tùy chọn thông báo khi alert được tạo hoặc đóng.
- Kiểm tra email cảnh báo được gửi về Gmail sau khi Workbench Alert được sinh ra.
Workbench Alert Notification là cơ chế thông báo khi hệ thống tạo mới hoặc đóng một Workbench Alert. Tính năng này giúp người quản trị hoặc SOC analyst nhanh chóng nhận biết sự kiện bảo mật mà không cần liên tục theo dõi dashboard.
Workbench Alert thường chứa các thông tin quan trọng như:
- Tên model hoặc detection.
- Mức độ nghiêm trọng của alert.
- Score đánh giá rủi ro.
- Workbench ID.
- Thời điểm alert được tạo.
- Impact Scope.
- Highlighted Objects.
- MITRE ATT&CK techniques liên quan.
- Link truy cập trực tiếp đến alert trên Trend Vision One console.
Thông qua email notification, analyst có thể nhanh chóng nắm được thông tin ban đầu của incident và truy cập vào Workbench để điều tra sâu hơn.
III. Các bước thực hiện
Bước 1: Truy cập mục Notifications: Tại giao diện Trend Vision One, truy cập vào phần Administration và chọn mục Notifications.
Bước 2: Bật notification cho Workbench Alert: Tại dòng Workbench alert, bật trạng thái notification sang On. Mục này có chức năng gửi thông báo khi một Workbench Alert được tạo mới hoặc khi alert được đóng. Các kênh thông báo được hỗ trợ gồm: Email, Webhook, Trend Vision One Mobile App. Trong lab, kênh được sử dụng là Email.
Bước 3: Cấu hình người nhận email: Trong phần Alert settings, chọn tab Email và thêm địa chỉ email của người nhận vào mục Recipients. Sau khi thêm email, hệ thống sẽ sử dụng danh sách này để gửi thông báo khi có Workbench Alert mới được tạo hoặc được cập nhật theo điều kiện cấu hình.
Trong phần này, có thể dùng nút Send test message để kiểm tra nhanh khả năng gửi email đến người nhận thông qua 1 sample test mail.
Bước 4: Cấu hình các tùy chọn gửi thông báo.
Trong phần cấu hình Workbench Alert, Trend Vision One cung cấp một số tùy chọn như:
- Notify recipients based on alert severity: gửi thông báo dựa trên mức độ nghiêm trọng của alert.
- Notify recipients when a new Workbench alert is created: gửi email khi có Workbench Alert mới được tạo.
- Expanded impact scope details: bổ sung chi tiết về phạm vi ảnh hưởng trong email.
- Include highlighted objects: đưa các object quan trọng liên quan đến alert vào nội dung email.
- Aggregate low severity alert notifications hourly: gom các alert mức độ thấp và gửi theo chu kỳ.
- Notify recipients when a Workbench alert is closed: gửi thông báo khi alert được đóng.
Sau khi cấu hình xong, nhấn Save để lưu thay đổi.
IV. Kiểm tra kết quảSau khi cấu hình notification, mình chạy lại kịch bản mô phỏng tấn công trước đó để tạo alert. Khi Workbench Alert được tạo, Trend Vision One gửi email cảnh báo đến địa chỉ đã cấu hình.
Email cảnh báo được gửi từ Trend Vision One có tiêu đề theo format tổng quát: <Company/Tenant Name> | Workbench | Alert Severity: <Severity> | Score: <Score> | Model: <Detection Model Name> | <Workbench ID> | <Reference ID> (do not reply)
Nội dung email bao gồm các thông tin chính:
- Score: 57.
- Workbench ID: WB-27707-20260604-00008.
- Model: Demo - Possible Cobalt Strike Connection.
- Model severity: High.
- Created time: 2026-06-04 21:25:03.
Ngoài ra, email còn chứa các thông tin bổ sung đã được cấu hình trước đó gồm:
- Impact Scope: Endpoint - Desktops: 1.
- Affected endpoint/IP: 192.168.1.38.
- Highlighted Objects:
- HTTP application.
- Destination port 80.
- Domain liên quan.
- External IP.
- HTTP request path.
- User-Agent.
- Rule name: COBALTSTRIKE - HTTP(REQUEST) - Variant 3.
- Source port.
- Interested host/IP.
- MITRE ATT&CK Techniques:
- T1071 - Application Layer Protocol.
- T1071.001 - Application Layer Protocol: Web Protocols.
- T1071.004 - Application Layer Protocol: DNS.
Ngoài ra, email còn cung cấp đường dẫn trực tiếp đến alert trên Trend Vision One console để analyst có thể mở nhanh Workbench Alert và tiếp tục điều tra.
V. Nhận xét
Tính năng gửi email khi có Workbench Alert giúp rút ngắn thời gian phát hiện và phản ứng của SOC analyst. Thay vì phải liên tục theo dõi dashboard, analyst có thể nhận thông báo trực tiếp qua email khi hệ thống phát hiện sự kiện quan trọng.
Một điểm hữu ích là email không chỉ thông báo rằng có alert mới, mà còn cung cấp nhiều thông tin điều tra ban đầu như severity, score, affected endpoint, highlighted objects, rule detection và MITRE ATT&CK techniques. Điều này giúp người nhận nhanh chóng đánh giá mức độ ưu tiên của alert trước khi truy cập vào console.
Bài viết liên quan
Được quan tâm
Bài viết mới