hiep03
Intern
Tìm hiểu Threat Analysis Center
I. Mở đầu
Trong hệ thống quản trị Sophos Central, Threat Analysis Center (TAC) là trung tâm điều hành và phân tích các sự kiện bảo mật. Đây là nơi tập trung toàn bộ dữ liệu về các mối đe dọa, giúp quản trị viên theo dõi xu hướng tấn công, điều tra nguồn gốc sự cố và thực hiện các biện pháp ứng phó kịp thời. Việc nắm vững các thành phần trong Threat Analysis Center giúp chủ động hơn trong việc bảo vệ hạ tầng công nghệ thông tin.II. Các thành phần chính trong Threat Analysis Center
Các thành phần trong Threat Analysis Center
Mình sẽ vào Dashboard trước
Dashboard
Giao diện của Dashboard
Total Case chứa các sự kiện được tạo ra bởi hệ thống
Có thể chọn lọc xem các sự kiện theo số ngày trước đó
Hoặc lọc theo mức độ quan trọng của sự kiện
Recent Case cho thấy các sự kiệc gần đây nhất
Có thể xem tổng quan trong Dashboard hoặc vào
Threat Analysis Center > Cases
Giải thích các trường
Severity (Mức độ nghiêm trọng): Phân loại mức độ rủi ro của vụ việc
Critical (Đỏ - Đã bị xâm nhập), High (Cam - Tấn công có mục tiêu), Medium (Vàng), Low (Xám đậm) và Info (Xám nhạt).
Case ID: Mã định danh duy nhất cho từng vụ việc. Có thể click vào mã này để xem chi tiết quá trình điều tra.
Status (Trạng thái): Tình trạng xử lý của vụ việc
Các trạng thái:
- New (Mới tạo, chưa được xử lý)
- Investigating (Đang điều tra)
- Action required (Cần xử lý)
- Resolved (Đã giải quyết)
Name (Tên vụ việc): Mô tả ngắn gọn về thiết bị và loại mã độc phát hiện được. Ví dụ: (kali) | LNX-PROT-SAV-MALWARE...
Managed By (Quản lý bởi): Xác định ai sẽ chịu trách nhiệm điều tra chính.
- Self: Khách hàng phải tự điều tra và phản ứng.
- Sophos: Đội ngũ MDR của Sophos sẽ điều tra và phản ứng thay
Case type (Loại vụ việc): Phân loại mục đích của vụ việc, ví dụ: Investigation (Điều tra).
Date Created / Date Updated: Thời gian vụ việc được hệ thống tự động tạo ra và thời gian cập nhật thông tin mới nhất.
Detection count (Số lượng phát hiện): Tổng số các cảnh báo/phát hiện riêng lẻ được gộp chung vào vụ việc này (ví dụ: vụ việc đầu tiên có tới 1218 phát hiện)
Trong tab này còn có chức năng Filter để lọc theo các trường
Còn có
- Select a created date range: Cho phép chọn khoảng thời gian vụ việc được tạo để thu hẹp danh sách hiển thị.
- Create case: Nút cho phép tự tạo một vụ việc thủ công nếu phát hiện dấu hiệu bất thường mà hệ thống chưa tự động gộp lại
Detections
Có thể xong trong Dashboard
Hoặc
Truy cập bằng Threat Analysis Center > Detections
Thấy được nhiều sự kiện được phát hiện nhất vào ngày 17 và ngày 18 có 1 cột nhỏ
Có thể lọc theo thời gian trước đó
Và xem kết quả theo Group
Giải sử mình chọn Detection Rule để lọc theo quy tắc kích hoạt cảnh báo
Device Exposure (Thiết bị có nguy cơ bị tấn công)
Đây là tính năng giúp xác định những thiết bị nào đã lâu không cập nhật hệ điều hành, từ đó trở nên dễ bị tổn thương trước các mối đe dọa.
- Tiêu chuẩn: Một thiết bị được coi là "lỗi thời" (out of date) nếu hệ điều hành của nó không được cập nhật từ 30 ngày trở lên.
- Phạm vi: Hiện tại tính năng này chỉ hỗ trợ cho các thiết bị Windows.
- Bản quyền: Cần có giấy phép bao gồm EDR, XDR hoặc MDR.
- Cấu hình: Phải bật tính năng tải dữ liệu lên Data Lake cho các thiết bị.
- Quyền hạn: Phải là Super Admin, Admin hoặc có vai trò tùy chỉnh có toàn quyền truy cập vào Endpoint/Server Protection
Threat Graphs
Threat Analysis Center > Threat Graphs
Đây là công cụ trực quan hóa giúp điều tra và dọn dẹp các cuộc tấn công của mã độc. Nó cho phép xác định:
- Nơi cuộc tấn công bắt đầu (Root cause).
- Cách thức mã độc lây lan trong hệ thống.
- Các tiến trình hoặc tệp tin nào đã bị ảnh hưởng.
- Tự động: Sophos tự động tạo sơ đồ khi phát hiện mã độc cần điều tra thêm.
- Thủ công (Admin-generated): Có thể tự tạo sơ đồ từ kết quả truy vấn trong Live Discover (ví dụ: từ một đường dẫn tệp tin cụ thể)
Công cụ lọc và tìm kiếm: Có thể lọc danh sách theo Thiết bị, Trạng thái, hoặc Mức độ ưu tiên. Ngoài ra, ô tìm kiếm cho phép tìm nhanh theo tên người dùng, tên thiết bị hoặc tên mối đe dọa cụ thể (ví dụ: "Troj/Agent-AJWL").
Các trường thông tin
- Status (Trạng thái): Mặc định khi mới tạo sẽ là New. Có thể thay đổi trạng thái này (ví dụ: chuyển sang Closed) khi vào xem chi tiết sơ đồ.
- Time created (Thời gian tạo): Hiển thị ngày và giờ chính xác khi sơ đồ được hệ thống hoặc Admin tạo ra.
- Priority (Mức độ ưu tiên): Một mức độ ưu tiên được thiết lập sẵn khi sơ đồ xuất hiện. Có thể thay đổi mức độ này sau khi đã đánh giá tình hình.
- Name (Tên): Hiển thị tên của loại mã độc hoặc mối đe dọa. Cần nhấn vào tên này để mở sơ đồ phân tích chi tiết.
- Generated by (Được tạo bởi): Tên của quản trị viên (Admin) đã tạo sơ đồ đó (trong trường hợp sơ đồ được tạo thủ công từ Live Discover).
- User (Người dùng): Tài khoản người dùng liên quan đến sự cố nhiễm mã độc.
- Device (Thiết bị): Tên của máy tính hoặc máy chủ xảy ra sự cố nhiễm mã độc.
- Device type (Loại thiết bị): Phân loại rõ đây là Computer (Máy tính) hay Server (Máy chủ).
Mình sẽ click thử vào đây
Ở trên hiển thị quy trình xử lý của Sophos sau khi phát hiện đã Cleaned
Ở dưới se có Graph hiển thị biểu đồ mối đe dọa với các Node là các thực thể trong hệ thống và các cạnh là hành động kèm theo mũi tên là hướng đi của quá trình này
Có thể nhấn vào từng node để xem chi tiết
Hoặc show direct path để xem con đường ngắn nhất mà mã độc đã đi
Cuối cùng là bảng danh sách chi tiết các thực thể trong biểu đồ
Live Discovery
Phần này mình đã giới thiệu với các bạn trong bài viết trước
Cuối cùng có thể xem các Query đã chạy gần đây trong giao diện Dashboard
III. Kết luận
Threat Analysis Center (TAC) đóng vai trò là trung tâm chỉ huy, nơi tập hợp và xử lý mọi dữ liệu bảo mật từ các lớp phòng thủ của Sophos. Thay vì quản lý các cảnh báo riêng lẻ, TAC cho phép quản trị viên tiếp cận hệ thống theo hướng điều tra tổng thể, từ việc quản lý các vụ việc (Cases) cho đến việc phân tích sâu chuỗi hành vi của mã độc thông qua sơ đồ (Threat Graphs).Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới