Trend Micro NDR Hiểu các cơ chế hoạt động của giải pháp

1. Cơ chế Thu thập và Xử lý Lưu lượng (Traffic Acquisition & Processing)​

Giải pháp NDR của Trend Micro (trọng tâm là Deep Discovery Inspector - DDI) hoạt động theo cơ chế giám sát thụ động (Passive Monitoring) để đảm bảo không can thiệp hoặc gây trễ cho luồng xử lý của hệ thống mạng lõi.

• Cơ chế tiếp nhận (Packet Capture): DDI nhận bản sao của toàn bộ lưu lượng mạng thông qua cấu hình cổng SPAN/Mirror Port trên Switch hoặc từ thiết bị Network TAP.
• Giải mã ứng dụng (Protocol Parsing): Thiết bị sở hữu khả năng bóc tách và nhận diện hơn 140 giao thức mạng khác nhau (bao gồm Web, Email, File Transfer, Directory Services, Database...). Quá trình này giúp hệ thống hiểu rõ ngữ cảnh của từng phiên truyền thông thay vì chỉ nhìn vào số cổng (Port Number) đơn thuần.
• Trích xuất siêu dữ liệu (Metadata Extraction): Thay vì lưu trữ toàn bộ gói tin thô gây tốn dung lượng, DDI trích xuất các thông tin đặc trưng (Metadata) như IP nguồn/đích, Domain, HTTP Header, File Hash, và đặc điểm phiên kết nối để phục vụ cho các tầng phân tích tiếp theo.

2. Các Cơ chế Phát hiện Đa tầng (Multi-Layered Detection Engines)​

Sau khi lưu lượng được bóc tách, Trend Micro NDR áp dụng đồng thời nhiều cơ chế kiểm tra song song để săn tìm dấu vết của cuộc tấn công:

a. Cơ chế Phân tích Hành vi Mạng (Network Behavior Anomaly Detection - NBAD)​

• Xây dựng lược đồ cơ sở (Baseline): Hệ thống tự động học và thiết lập trạng thái hoạt động bình thường của mạng nội bộ.
• Phát hiện bất thường: Kích hoạt cảnh báo khi xuất hiện các hành vi lệch chuẩn như: một máy trạm bất ngờ dò quét hàng loạt cổng (Port Scanning) trong thời gian ngắn, hoặc có sự gia tăng đột biến về lưu lượng truyền tải dữ liệu nội bộ (dấu hiệu của Lateral Movement hoặc Exfiltration).

b. Cơ chế Khớp mẫu nâng cao (Advanced Pattern Matching)​

• Sử dụng các bộ luật (Rules) và chữ ký (Signatures) được cập nhật liên tục từ mạng lưới bảo mật toàn cầu (Trend Micro Smart Protection Network).
• Tập trung nhận diện các chuỗi hành vi độc hại đặc trưng, ví dụ như các gói tin khai thác lỗ hổng bảo mật (Exploit Kits) hoặc cấu trúc lệnh điều khiển đặc trưng của các mạng máy tính ma (C&C Traffic).

c. Cơ chế Phân tích Mã độc Chuyên sâu (Custom Sandbox Analysis)​

• Lọc và trích xuất file: Khi phát hiện các file được truyền tải qua các giao thức như HTTP, SMTP, FTP, SMB có dấu hiệu nghi ngờ (nhưng chưa có chữ ký nhận diện), DDI sẽ giữ lại bản sao của file đó.
• Kích hoạt trong môi trường cô lập: File được chuyển sang phân tích tại hệ thống Sandbox (Deep Discovery Analyzer). Tại đây, file được thực thi trong một môi trường giả lập có cấu hình (Hệ điều hành, ứng dụng) mô phỏng giống hệt môi trường thực tế của doanh nghiệp.
• Ghi nhận hành vi: Sandbox theo dõi toàn bộ các hành vi của file như: ghi đè Registry, tự động tạo tiến trình ngầm, cố gắng kết nối ra ngoài Internet... từ đó đưa ra kết luận chính xác về mức độ độc hại của file.

3. Cơ chế Tương quan Dữ liệu và XDR (Correlation & XDR Engine)​

Đây là cơ chế vận hành trên nền tảng đám mây Trend Vision One để nâng cao độ chính xác của các cảnh báo:

• Tập trung hóa dữ liệu: Các cảnh báo đơn lẻ và Metadata từ thiết bị DDI dưới hạ tầng được đẩy liên tục lên đám mây Trend Vision One.
• Xâu chuỗi sự kiện (Event Correlation): Hệ thống sử dụng thuật toán AI để tự động kết nối các chấm dữ liệu rời rạc. Ví dụ: Kết nối hành vi "DDI phát hiện IP A kết nối đến một Domain lạ" với sự kiện "EDR trên máy A ghi nhận có tiến trình lạ thực thi" và "Hệ thống Email ghi nhận máy A vừa mở một link phishing trước đó 5 phút".
• Giảm thiểu cảnh báo giả: Việc liên kết đa nguồn giúp xác định chính xác một cuộc tấn công thực sự đang diễn ra, loại bỏ các cảnh báo nhiễu và sắp xếp thứ tự ưu tiên xử lý cho quản trị viên theo khung MITRE ATT&CK.

4. Cơ chế Phản hồi tự động và Phối hợp ngăn chặn (Automated Response & Orchestration)​

Khi một mối đe dọa được xác nhận, giải pháp vận hành cơ chế phản hồi theo hai hướng chính:

• Phản hồi nội tại hệ sinh thái (Native Response): Thông qua nền tảng Trend Vision One, hệ thống lập tức phát lệnh xuống các đại lý (Agent) Endpoint hoặc giải pháp bảo mật Email thuộc Trend Micro để thực hiện cách ly máy tính nhiễm độc (Isolate Endpoint), thu hồi thư chứa mã độc hoặc chặn tiến trình độc hại.
• Phối hợp thiết bị ngoại vi (Third-Party Integration): NDR kích hoạt các kịch bản hành động (Playbooks) thông qua API để gửi chỉ số độc hại (IoC) như IP, URL, Domain đến các thiết bị mạng của hãng thứ ba. Tường lửa (Firewall) hoặc thiết bị Core Switch sẽ nhận lệnh này để tự động cấu hình các điều khiển ACL nhằm chặn luồng traffic độc hại hoặc cô lập vùng mạng bị ảnh hưởng ngay lập tức.