I. MÔ TẢ YÊU CẦU CỦA BÀI LAB
1.1. Mô tả sơ bộ bài lab
Bài lab tập trung vào việc xây dựng một bảng điều khiển tổng quan dành cho trung tâm vận hành an ninh mạng (SOC). Mục tiêu là tạo ra một dashboard tập trung hiển thị các thông số quan trọng như tổng số sự kiện, số lượng cảnh báo, các mối đe dọa hàng đầu, lưu lượng mạng, bảng sự cố và các hoạt động đăng nhập bất thường. Dashboard giúp kỹ sư SOC nhanh chóng nắm bắt tình hình bảo mật và phát hiện các dấu hiệu bất thường.
Thiết bị và công nghệ sử dụng:
1.1. Mô tả sơ bộ bài lab
Bài lab tập trung vào việc xây dựng một bảng điều khiển tổng quan dành cho trung tâm vận hành an ninh mạng (SOC). Mục tiêu là tạo ra một dashboard tập trung hiển thị các thông số quan trọng như tổng số sự kiện, số lượng cảnh báo, các mối đe dọa hàng đầu, lưu lượng mạng, bảng sự cố và các hoạt động đăng nhập bất thường. Dashboard giúp kỹ sư SOC nhanh chóng nắm bắt tình hình bảo mật và phát hiện các dấu hiệu bất thường.
Thiết bị và công nghệ sử dụng:
- Ubuntu 20.04 LTS
- OpenSearch và OpenSearch Dashboards (Docker)
- Python 3
- Dữ liệu log từ các bài lab trước
1.2. Mô tả vấn đề cần giải quyết
Trong thực tế vận hành, các kỹ sư SOC phải theo dõi nhiều nguồn thông tin khác nhau, dẫn đến khó khăn trong việc tổng hợp và phát hiện sự cố kịp thời. Dashboard tổng quan giúp giải quyết vấn đề này bằng cách hiển thị tất cả thông tin quan trọng trên một màn hình duy nhất, cho phép phát hiện nhanh các bất thường và đưa ra phản ứng kịp thời. Bài lab hướng đến việc xây dựng một giải pháp trực quan, dễ sử dụng và có thể áp dụng thực tế.
II. GIẢI PHÁP
2.1. Kiến trúc tổng thể
Hệ thống sử dụng OpenSearch làm kho lưu trữ log tập trung. Dữ liệu được lấy từ các index khác nhau bao gồm web-attacks, network-logs, access-logs và auth-logs. OpenSearch Dashboards được sử dụng để trực quan hóa dữ liệu thành các biểu đồ và bảng thống kê. Dashboard được chia thành 4 khu vực chính: tổng quan, lưu lượng mạng, sự cố bảo mật và kiểm soát truy cập.
Hình 1: Kiến trúc hệ thống Security Dashboard.
2.2. Triển khai chi tiết
2.2.1. Chuẩn bị dữ liệu
Dữ liệu cho dashboard được tổng hợp từ các bài lab trước và bổ sung thêm một số log mới. Các index được sử dụng bao gồm web-attacks (chứa thông tin tấn công web), network-logs (chứa dữ liệu lưu lượng mạng) và access-logs (chứa dữ liệu đăng nhập). Tổng số sự kiện được ghi nhận lên đến 6.703, trong đó có 4.389 cảnh báo mức HIGH.
2.2.2. Tạo Index Patterns
Trước khi xây dựng dashboard, cần tạo các index patterns trên OpenSearch Dashboards để định nghĩa nguồn dữ liệu. Các patterns được tạo bao gồm web-attacks-, network-logs-, access-logs-* và auth-logs-*. Mỗi pattern được liên kết với trường timestamp để xác định thời gian của dữ liệu.
2.2.3. Xây dựng các biểu đồ
Dashboard được chia thành 4 nhóm chính với tổng cộng 9 biểu đồ:
a. Nhóm tổng quan (Overview)
Biểu đồ Event Count hiển thị tổng số sự kiện an ninh đã được ghi nhận trong toàn bộ hệ thống. Đây là chỉ số cơ bản giúp đánh giá mức độ hoạt động của hệ thống.
Hình 2: Biểu đồ Event Count
Biểu đồ Alert Count đếm số lượng cảnh báo có mức độ nghiêm trọng HIGH, giúp xác định các mối đe dọa cần ưu tiên xử lý ngay.
Hình 3: Biểu đồ Alert Count
Biểu đồ Top Threats liệt kê các loại tấn công xuất hiện nhiều nhất. Kết quả cho thấy Log4Shell, SQL Injection và XSS là ba loại tấn công phổ biến nhất.
Hình 4: Biểu đồ Top Threats
b. Nhóm lưu lượng mạng (Network Traffic)
Biểu đồ Protocol Distribution thống kê tỷ lệ các giao thức mạng đang được sử dụng. Dữ liệu cho thấy TCP chiếm tỷ lệ cao nhất, tiếp theo là UDP và ICMP. Thông tin này giúp phát hiện các bất thường trong lưu lượng mạng.
Hình 5: Biểu đồ Protocol Distribution
c. Nhóm sự cố bảo mật (Security Incidents)
Biểu đồ Event Type Distribution phân tích tỷ lệ các loại tấn công web theo phần trăm, giúp xác định loại tấn công đang chiếm ưu thế.
Hình 6: Biểu đồ Event Type Distribution
Biểu đồ Top Blocked IPs hiển thị danh sách các địa chỉ IP bị chặn nhiều nhất. Các IP hàng đầu bao gồm 192.168.1.100, 10.0.0.50 và 172.16.0.100.
Hình 7: Biểu đồ Top Blocked IPs
Bảng Incident Table cung cấp danh sách chi tiết các sự cố theo thời gian, hỗ trợ công tác truy vết và điều tra khi cần thiết.
Hình 8: Bảng Incident Table
d. Nhóm kiểm soát truy cập (Access Control)
Biểu đồ Failed Login Trend thể hiện xu hướng đăng nhập thất bại theo thời gian, giúp phát hiện các dấu hiệu của tấn công brute-force hoặc các nỗ lực truy cập trái phép.
Hình 9: Biểu đồ Failed Login Trend
Biểu đồ Locked Users thống kê những tài khoản người dùng bị khóa nhiều nhất do nhập sai mật khẩu nhiều lần. Thông tin này giúp quản trị viên xác định các tài khoản cần được kiểm tra.
Hình 10: Biểu đồ Locked Users
2.2.4. Xuất file cấu hình
Sau khi hoàn thành dashboard, file cấu hình được xuất dưới dạng JSON để lưu trữ và chia sẻ. File này chứa đầy đủ thông tin về các biểu đồ, bố cục và cấu hình của dashboard, giúp dễ dàng khôi phục hoặc triển khai trên hệ thống khác.
III. KẾT LUẬN
Sau khi triển khai, dashboard đã đáp ứng tốt các yêu cầu đặt ra về giám sát an ninh mạng. Các chỉ số được hiển thị rõ ràng và trực quan trên một màn hình duy nhất, giúp kỹ sư SOC có cái nhìn tổng quan về tình hình bảo mật của hệ thống mà không cần phải kiểm tra nhiều nguồn khác nhau.
Kết quả từ dashboard cho thấy hệ thống ghi nhận 6.703 sự kiện, trong đó có 4.389 cảnh báo mức HIGH. Các cuộc tấn công chủ yếu tập trung vào Log4Shell, SQL Injection và XSS. Các IP bị chặn nhiều nhất bao gồm 192.168.1.100, 10.0.0.50 và 172.16.0.100. Bên cạnh đó, xu hướng đăng nhập thất bại cũng được theo dõi để phát hiện các nỗ lực truy cập trái phép.
Dashboard đã được lưu và xuất thành công dưới dạng file JSON, sẵn sàng cho các bước triển khai tiếp theo hoặc áp dụng vào thực tế.
Trong thực tế vận hành, các kỹ sư SOC phải theo dõi nhiều nguồn thông tin khác nhau, dẫn đến khó khăn trong việc tổng hợp và phát hiện sự cố kịp thời. Dashboard tổng quan giúp giải quyết vấn đề này bằng cách hiển thị tất cả thông tin quan trọng trên một màn hình duy nhất, cho phép phát hiện nhanh các bất thường và đưa ra phản ứng kịp thời. Bài lab hướng đến việc xây dựng một giải pháp trực quan, dễ sử dụng và có thể áp dụng thực tế.
II. GIẢI PHÁP
2.1. Kiến trúc tổng thể
Hệ thống sử dụng OpenSearch làm kho lưu trữ log tập trung. Dữ liệu được lấy từ các index khác nhau bao gồm web-attacks, network-logs, access-logs và auth-logs. OpenSearch Dashboards được sử dụng để trực quan hóa dữ liệu thành các biểu đồ và bảng thống kê. Dashboard được chia thành 4 khu vực chính: tổng quan, lưu lượng mạng, sự cố bảo mật và kiểm soát truy cập.
Hình 1: Kiến trúc hệ thống Security Dashboard.
2.2. Triển khai chi tiết
2.2.1. Chuẩn bị dữ liệu
Dữ liệu cho dashboard được tổng hợp từ các bài lab trước và bổ sung thêm một số log mới. Các index được sử dụng bao gồm web-attacks (chứa thông tin tấn công web), network-logs (chứa dữ liệu lưu lượng mạng) và access-logs (chứa dữ liệu đăng nhập). Tổng số sự kiện được ghi nhận lên đến 6.703, trong đó có 4.389 cảnh báo mức HIGH.
2.2.2. Tạo Index Patterns
Trước khi xây dựng dashboard, cần tạo các index patterns trên OpenSearch Dashboards để định nghĩa nguồn dữ liệu. Các patterns được tạo bao gồm web-attacks-, network-logs-, access-logs-* và auth-logs-*. Mỗi pattern được liên kết với trường timestamp để xác định thời gian của dữ liệu.
2.2.3. Xây dựng các biểu đồ
Dashboard được chia thành 4 nhóm chính với tổng cộng 9 biểu đồ:
a. Nhóm tổng quan (Overview)
Biểu đồ Event Count hiển thị tổng số sự kiện an ninh đã được ghi nhận trong toàn bộ hệ thống. Đây là chỉ số cơ bản giúp đánh giá mức độ hoạt động của hệ thống.
Hình 2: Biểu đồ Event Count
Biểu đồ Alert Count đếm số lượng cảnh báo có mức độ nghiêm trọng HIGH, giúp xác định các mối đe dọa cần ưu tiên xử lý ngay.
Hình 3: Biểu đồ Alert Count
Biểu đồ Top Threats liệt kê các loại tấn công xuất hiện nhiều nhất. Kết quả cho thấy Log4Shell, SQL Injection và XSS là ba loại tấn công phổ biến nhất.
Hình 4: Biểu đồ Top Threats
b. Nhóm lưu lượng mạng (Network Traffic)
Biểu đồ Protocol Distribution thống kê tỷ lệ các giao thức mạng đang được sử dụng. Dữ liệu cho thấy TCP chiếm tỷ lệ cao nhất, tiếp theo là UDP và ICMP. Thông tin này giúp phát hiện các bất thường trong lưu lượng mạng.
Hình 5: Biểu đồ Protocol Distribution
c. Nhóm sự cố bảo mật (Security Incidents)
Biểu đồ Event Type Distribution phân tích tỷ lệ các loại tấn công web theo phần trăm, giúp xác định loại tấn công đang chiếm ưu thế.
Hình 6: Biểu đồ Event Type Distribution
Biểu đồ Top Blocked IPs hiển thị danh sách các địa chỉ IP bị chặn nhiều nhất. Các IP hàng đầu bao gồm 192.168.1.100, 10.0.0.50 và 172.16.0.100.
Hình 7: Biểu đồ Top Blocked IPs
Bảng Incident Table cung cấp danh sách chi tiết các sự cố theo thời gian, hỗ trợ công tác truy vết và điều tra khi cần thiết.
Hình 8: Bảng Incident Table
d. Nhóm kiểm soát truy cập (Access Control)
Biểu đồ Failed Login Trend thể hiện xu hướng đăng nhập thất bại theo thời gian, giúp phát hiện các dấu hiệu của tấn công brute-force hoặc các nỗ lực truy cập trái phép.
Hình 9: Biểu đồ Failed Login Trend
Biểu đồ Locked Users thống kê những tài khoản người dùng bị khóa nhiều nhất do nhập sai mật khẩu nhiều lần. Thông tin này giúp quản trị viên xác định các tài khoản cần được kiểm tra.
Hình 10: Biểu đồ Locked Users
2.2.4. Xuất file cấu hình
Sau khi hoàn thành dashboard, file cấu hình được xuất dưới dạng JSON để lưu trữ và chia sẻ. File này chứa đầy đủ thông tin về các biểu đồ, bố cục và cấu hình của dashboard, giúp dễ dàng khôi phục hoặc triển khai trên hệ thống khác.
III. KẾT LUẬN
Sau khi triển khai, dashboard đã đáp ứng tốt các yêu cầu đặt ra về giám sát an ninh mạng. Các chỉ số được hiển thị rõ ràng và trực quan trên một màn hình duy nhất, giúp kỹ sư SOC có cái nhìn tổng quan về tình hình bảo mật của hệ thống mà không cần phải kiểm tra nhiều nguồn khác nhau.
Kết quả từ dashboard cho thấy hệ thống ghi nhận 6.703 sự kiện, trong đó có 4.389 cảnh báo mức HIGH. Các cuộc tấn công chủ yếu tập trung vào Log4Shell, SQL Injection và XSS. Các IP bị chặn nhiều nhất bao gồm 192.168.1.100, 10.0.0.50 và 172.16.0.100. Bên cạnh đó, xu hướng đăng nhập thất bại cũng được theo dõi để phát hiện các nỗ lực truy cập trái phép.
Dashboard đã được lưu và xuất thành công dưới dạng file JSON, sẵn sàng cho các bước triển khai tiếp theo hoặc áp dụng vào thực tế.