SIEM/Log Management BÁO CÁO CẤU HÌNH HỆ THỐNG GIÁM SÁT SIEM OPENSEARCH VÀ KẾT NỐI CẢNH BÁO TELEGRAM

Dưới đây là bài chia sẻ chi tiết, tường tận từng bước giúp bạn ghi lại toàn bộ quá trình cấu hình, fix lỗi hệ thống SIEM OpenSearch và kết nối cảnh báo thành công về Telegram để đưa vào báo cáo đồ án. Bài viết được thiết kế theo dạng dòng thời gian xử lý thực tế, đi kèm các ghi chú chèn hình ảnh minh chứng cực kỳ trực quan.

---

BÁO CÁO CẤU HÌNH HỆ THỐNG GIÁM SÁT SIEM OPENSEARCH VÀ KẾT NỐI CẢNH BÁO TELEGRAM​

I. ĐẶT VẤN ĐỀ & BỐI CẢNH​

Trong quá trình triển khai hệ thống OpenSearch SIEM để giám sát an toàn thông tin mạng, việc cấu hình luồng cảnh báo tự động (Alerting) về các nền tảng OTT như Telegram là vô cùng quan trọng. Tuy nhiên, khi sử dụng các bộ luật Sigma mặc định (ví dụ: luật phát hiện tấn công qua Network Activity), hệ thống đòi hỏi các trường dữ liệu nạp vào phải khớp hoàn toàn với cấu hình mapping phức tạp (TCP flags, packet length...).

Nếu log giả lập không đủ "mồi", hệ thống SIEM sẽ ghi nhận Total Findings = 0 và Bot Telegram sẽ không thể nổ chuông. Do đó, bài nghiên cứu này thực hiện kiểm tra thông luồng bằng hai phương pháp: Tạo luật Sigma tùy chỉnh (Custom Detection Rule) và Cấu hình Monitor Quét Trực Tiếp (Alerting).

---

II. QUÁ TRÌNH TRIỂN KHAI VÀ FIX LỖI THỰC TẾ​

Bước 1: Khởi tạo Luật Sigma Tùy Chỉnh (Custom Detection Rule)​

Để chủ động tạo ra một "bẫy" bắt log, chúng ta tiến hành tạo một luật Sigma đơn giản quét từ khóa ATTACK_TEST trong trường message.

1. Truy cập Security Analytics > Detection rules > Chọn Create detection rule.
2. Chuyển đổi giao diện từ Visual Editor sang YAML Editor bằng cách click vào liên kết xanh hoặc nút chuyển tab.
   
   
   

Các lỗi phát sinh trong quá trình viết YAML & Cách xử lý:​

• 
  
• Lỗi 1 (Ký tự đặc biệt & Thiếu trường): Khi viết mô tả bằng tiếng Việt có dấu và thiếu trường tác giả, hệ thống báo lỗi đỏ loại bỏ ký tự.
  
  • Khắc phục: Chuyển Description sang tiếng Anh không dấu và thêm trường author: Admin.
• Lỗi 2 (Định dạng ID): Hệ thống báo lỗi Sigma rule identifier must be an UUID.
  
  • Khắc phục: Thay đổi id từ chuỗi thường thành một chuỗi chuẩn UUID (Ví dụ: 51111663-d146-4ab8-a178-08d6d45eab0f).
    
    
    
    
    
    đoạn mã hoàn chỉnh sau khi chỉnh sửa:
    
    
  • title: Telegram Test Rule
    id: 51111663-d146-4ab8-a178-08d6d45eab0f
    status: experimental
    description: Test rule for Telegram alert
    author: Admin
    logsource:
    product: network
    detection:
    selection:
    message: '*ATTACK_TEST*'
    condition: selection
    level: critical
    
    
    
    
    

  • Bước 2: Thử nghiệm Nạp Log Giả Lập Qua Dev Tools​

    Sau khi luật được lưu thành công, tiến hành dùng công cụ Dev Tools (Console) để bắn log giả lập vào index network-logs-2026-05.
    
    

    Các lỗi phát sinh khi nạp Log & Cách xử lý:​

    • Lỗi Alias Field: Lệnh nạp log ban đầu chứa cụm trường "id": {"orig_h": ...} bị từ chối với thông báo Cannot write to a field alias [id.orig_h] do OpenSearch không cho phép ghi đè trực tiếp lên trường bí danh.
      
      • Khắc phục:Loại bỏ hoàn toàn cụm dữ liệu id lỗi, chỉ giữ lại các trường IP nguồn, IP đích và Message chính.
        
        
        
        
        
    • Lỗi Định Dạng Thời Gian (Date Parsing): Khi nạp giá trị "@timestamp": "now", hệ thống báo lỗi do Index chỉ chấp nhận chuỗi thời gian chuẩn ISO nghiêm ngặt.
      
      • Khắc phục:Thay thế bằng chuỗi thời gian cụ thể dạng UTC trùng với mốc thời gian thực tế đang cấu hình (Ví dụ: "2026-05-18T14:37:00.000Z").
        
        
        
        Lệnh POST log chuẩn xác và kết quả thành công:
        
        JSON
        
        POST network-logs<span>-2026</span><span>-05</span>/_doc/test-sigma-now-v2<br>{<br> <span>"@timestamp"</span>: <span>"2026-05-18T14:37:00.000Z"</span>,<br> <span>"source"</span>: { <span>"ip"</span>: <span>"192.168.1.222"</span> },<br> <span>"destination"</span>: { <span>"ip"</span>: <span>"10.10.10.10"</span> },<br> <span>"message"</span>: <span>"CRITICAL SITUATION: ATTACK_TEST IN PROGRESS"</span><br>}<br>
        
        Bước 3: Giải Pháp Đường Vòng Tốc Hành - Cấu Hình Alerting Monitor
        Để đảm bảo 100% tin nhắn được bắn về Telegram ngay lập tức không phụ thuộc vào độ trễ của bộ quét SIEM Detector, phương pháp cấu hình Per-Query Monitor trong tab Alerting đã được triển khai độc lập.
        
        
    • Tạo Monitor mang tên Telegram_Direct_Monitor, đặt tần suất quét là Every 1 minutes.
    • Cấu hình câu lệnh truy vấn tìm kiếm trực tiếp từ khóa ATTACK_TEST trên Index mạng.
    • Thiết lập Trigger và bổ sung Action liên kết trực tiếp với Webhook của Bot Telegram. Nội dung tin nhắn gửi đi được cá nhân hóa bằng Markdown để hiển thị thông tin chi tiết về cuộc tấn công giả lập.
      
      
      III. KẾT QUẢ ĐẠT ĐƯỢC
      Sau khi chuỗi thời gian thực được nạp đồng bộ, Monitor quét qua dữ liệu và ghi nhận số lượng bản ghi thỏa mãn điều kiện. Hệ thống ngay lập tức kích hoạt hành động chuyển tiếp tin nhắn:
      
      
    • Giao diện OpenSearch cập nhật trạng thái Active Alerts từ 0 nhảy lên 1.
    • Bot Telegram nhận được chuỗi dữ liệu webhook, nổ chuông và hiển thị toàn bộ thông tin cảnh báo bảo mật khẩn cấp (bao gồm IP nguồn 192.168.1.222, nội dung thông điệp tấn công nguy hiểm).
      
      IV. KẾT LUẬN
      Qua quá trình cấu hình và xử lý các lỗi nghiêm ngặt về cú pháp luật Sigma (UUID, trường mô tả tiếng Anh), cơ chế ghi log (Field alias) và đồng bộ thời gian thực (Time parsing), hệ thống SIEM OpenSearch đã hoạt động trơn tru. Giải pháp sử dụng Monitor trực tiếp là phương án tối ưu mang tính thực tiễn cao, giúp quá trình giám sát và phản ứng sự cố đạt hiệu quả tức thì.