SIEM/Log Management XÂY DỰNG DASHBOARD GIÁM SÁT HỆ THỐNG & BẢO MẬT

Sau khi thiết lập hệ thống cảnh báo tự động, bước cuối cùng để hoàn thiện một hệ thống SOC (Security Operations Center) mini là xây dựng Dashboard. Đây là nơi trực quan hóa dữ liệu, giúp quản trị viên có cái nhìn tổng thể về an ninh hệ thống chỉ trong vài giây.

1. Khởi tạo Dashboard tổng quát​

  • Thao tác: Truy cập menu Dashboard -> Chọn Create dashboard.
  • Thiết lập nguồn dữ liệu: Sử dụng Index Pattern logs-* để bao quát toàn bộ log từ Winlogbeat và các nguồn khác.
  • Lưu ý quan trọng: Luôn kiểm tra bộ lọc thời gian ở góc phải. Nếu biểu đồ trống, hãy đổi từ Last 15 minutes sang Last 24 hours hoặc Last 7 days và nhấn Refresh để dữ liệu hiện ra.

2. Các thành phần chính trên Dashboard​

A. Tổng số sự kiện (Metric - TSVB)​

  • Mục tiêu: Hiển thị tổng quy mô dữ liệu log đổ về.
  • Cấu hình: Sử dụng Aggregation là Count trên toàn bộ Index.

    1778173631484.png

B. Thống kê đăng nhập sai theo thời gian (Line Chart)​

  • Mục tiêu: Theo dõi các đợt tấn công Brute Force thông qua biến động của mã lỗi 4625.
  • Cấu hình: Trục X là @timestamp, Trục Y là Count, kết hợp bộ lọc DQL event.code : "4625".
    1778173683067.png

C. Top 5 loại sự kiện phổ biến (Bar Chart)​

  • Mục tiêu: Nhận diện các mã sự kiện (Event ID) xuất hiện nhiều nhất trên hệ thống.
  • Cấu hình: Trục X sử dụng Terms với Field là event.code.keyword, Trục Y là Count.
    1778173707722.png

D. Tỷ lệ nguồn Log (Pie Chart)​

  • Mục tiêu: Xem nhanh tỷ trọng log đến từ máy Windows (Winlogbeat) hay các nguồn khác.
  • Cấu hình: Sử dụng Terms cho Field agent.type.keyword.
    1778173723162.png

E. Danh sách các máy chủ gửi log (Data Table)​

  • Mục tiêu: Liệt kê chi tiết tên các máy chủ đang được giám sát.
  • Cấu hình: Split Rows theo Field agent.name.

    1778173740916.png

3. Xuất cấu hình và Chia sẻ (Export JSON)​

Để sao lưu hoặc chia sẻ Dashboard này cho các hệ thống khác, chúng ta thực hiện các bước:

  1. Vào menu Dashboards Management (trong mục Management).
  2. Chọn mục Saved Objects ở cột bên trái.
  3. Tìm tên Dashboard đã lưu, tích chọn và nhấn Export.
  4. Hệ thống sẽ tải về file .ndjson chứa toàn bộ cấu hình Dashboard và các biểu đồ con bên trong.
1778173768104.png

4. Kết luận sau quá trình thực hành​

  • Đồng bộ thời gian: Yếu tố mấu chốt để Dashboard hiển thị đúng là múi giờ giữa máy gửi log và máy chủ OpenSearch phải khớp nhau.
  • Sử dụng Keyword: Luôn ưu tiên dùng các trường có đuôi .keyword khi làm biểu đồ thống kê để đạt hiệu năng và độ chính xác cao nhất.
  • Giám sát liên tục: Kết hợp giữa Dashboard (trực quan) và Alerting (cảnh báo chủ động) giúp hệ thống bảo mật trở nên toàn diện hơn.
 
Nhấn để mở rộng...
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top