Thiết lập hệ thống tự động phát hiện các nỗ lực đăng nhập sai quá số lần quy định trên máy chủ Windows thông qua bộ giải pháp OpenSearch, Winlogbeat và Alerting.
2. Các bước triển khai chi tiết
Bước 1: Cấu hình Audit Policy trên Windows
Để hệ thống có thể ghi nhận các lần đăng nhập sai, ta cần bật tính năng trên Windows.
Thao tác: Mở secpol.msc -> Local Policies -> Audit Policy -> Bật Failure cho Audit logon events
Bước 2: Kiểm tra dữ liệu đẩy về OpenSearch
Sử dụng công cụ Discover để đảm bảo log từ máy Windows đã "bay" lên server Ubuntu thành công.
Câu truy vấn (DQL): event.code: "4625"
Bước 3: Khởi tạo Monitor (Bộ giám sát)
Thiết lập một "người gác cổng" quét log định kỳ mỗi 5 phút để đếm số lần đăng nhập sai.
Loại Monitor: Per query monitor.
Phương thức: Visual graph.
Bước 4: Thiết lập Trigger (Điều kiện báo động)
Đặt ngưỡng để hệ thống biết khi nào thì coi là một cuộc tấn công.
Điều kiện: IS ABOVE 5 (Nếu số lần đăng nhập sai lớn hơn 5 trong vòng 15 phút).
3. Kiểm thử và Kết quả (Test Alert)
Kịch bản thử nghiệm:
Đứng tại máy ảo Windows, cố tình nhập sai mật khẩu liên tục 6-8 lần.
Hệ thống Winlogbeat ghi nhận sự kiện và đẩy về OpenSearch.
Monitor quét dữ liệu và so sánh với ngưỡng (threshold) đã đặt.
Kết quả thu được:
Hệ thống chuyển trạng thái sang Active (Cảnh báo đang hoạt động).
4. Những lưu ý và bài học kinh nghiệm
Vấn đề Mapping: Trong OpenSearch, nếu muốn dùng tính năng Per bucket monitor để theo dõi từng User cụ thể, các trường dữ liệu cần phải có định dạng .keyword.
Lỗi giao diện: Khi tạo Monitor, nếu gặp lỗi "Failed to create", cần kiểm tra kỹ các ô bôi đỏ hoặc xóa bỏ các Action (gửi Email/Slack) nếu chưa cấu hình Destination.
Real-time: Đảm bảo múi giờ giữa máy gửi log (Windows) và máy nhận log (Ubuntu) đồng nhất để tránh việc log bị rơi vào "quá khứ" khi lọc dữ liệu.
