Hoàng Doanh
Intern
Sau khi triển khai Virtual Network Sensor và hoàn tất quá trình onboarding, bước tiếp theo là kiểm tra khả năng thu thập lưu lượng mạng của sensor. Trong môi trường thực tế, traffic thường được đưa về sensor thông qua SPAN port, TAP hoặc cơ chế port mirroring trên switch/hypervisor. Tuy nhiên, với môi trường lab sử dụng VMware ESXi standalone, bài lab sử dụng Promiscuous Mode trên port group để mô phỏng khả năng quan sát traffic trong cùng mạng nội bộ.
Trong bài lab này, mình sử dụng kịch bản simulation có sẵn trên Trend Vision One để tạo lưu lượng kiểm thử. Sau đó, kiểm tra dữ liệu được ghi nhận trên Observed Attack Techniques và console của Virtual Network Sensor nhằm xác nhận sensor đã có thể thu thập, phân tích và gửi telemetry về Trend Vision One.
I. Mục tiêu và phạm vi kiểm thử
Trong môi trường thực tế, cơ chế port mirroring hoặc SPAN thường được sử dụng để sao chép traffic mạng đến sensor phục vụ cho việc giám sát và phân tích. Tuy nhiên, trong môi trường lab sử dụng VMware ESXi standalone, tính năng port mirroring chuyên dụng không được hỗ trợ đầy đủ. Do đó, bài lab sử dụng phương pháp thay thế là bật Promiscuous Mode trên port group để cho phép Virtual Network Sensor quan sát lưu lượng mạng trong cùng mạng nội bộ.
Cấu hình Promiscuous Mode đã được thực hiện ở bài lab trước. Vì vậy, nội dung bài lab này sẽ tập trung vào việc tạo lưu lượng mạng kiểm thử và xác nhận rằng sensor có thể thu thập, phân tích, sau đó gửi dữ liệu về nền tảng Trend Vision One.
Lưu ý về môi trường lab: Trong môi trường production, Virtual Network Sensor nên nhận traffic thông qua SPAN port, TAP hoặc cơ chế port mirroring được cấu hình trên switch/hypervisor. Việc sử dụng Promiscuous Mode trong bài lab chỉ nhằm đơn giản hóa mô hình triển khai trên ESXi standalone và phục vụ mục đích kiểm thử khả năng quan sát traffic của sensor.
II. Các bước thực hiện
Trong bài lab này, mình sử dụng kịch bản simulation có sẵn trên Trend Vision One để tạo lưu lượng kiểm thử. Sau đó, kiểm tra dữ liệu được ghi nhận trên Observed Attack Techniques và console của Virtual Network Sensor nhằm xác nhận sensor đã có thể thu thập, phân tích và gửi telemetry về Trend Vision One.
I. Mục tiêu và phạm vi kiểm thử
Trong môi trường thực tế, cơ chế port mirroring hoặc SPAN thường được sử dụng để sao chép traffic mạng đến sensor phục vụ cho việc giám sát và phân tích. Tuy nhiên, trong môi trường lab sử dụng VMware ESXi standalone, tính năng port mirroring chuyên dụng không được hỗ trợ đầy đủ. Do đó, bài lab sử dụng phương pháp thay thế là bật Promiscuous Mode trên port group để cho phép Virtual Network Sensor quan sát lưu lượng mạng trong cùng mạng nội bộ.
Cấu hình Promiscuous Mode đã được thực hiện ở bài lab trước. Vì vậy, nội dung bài lab này sẽ tập trung vào việc tạo lưu lượng mạng kiểm thử và xác nhận rằng sensor có thể thu thập, phân tích, sau đó gửi dữ liệu về nền tảng Trend Vision One.
Lưu ý về môi trường lab: Trong môi trường production, Virtual Network Sensor nên nhận traffic thông qua SPAN port, TAP hoặc cơ chế port mirroring được cấu hình trên switch/hypervisor. Việc sử dụng Promiscuous Mode trong bài lab chỉ nhằm đơn giản hóa mô hình triển khai trên ESXi standalone và phục vụ mục đích kiểm thử khả năng quan sát traffic của sensor.
II. Các bước thực hiện
- Trong bài lab này, mình sử dụng tính năng Simulation có sẵn trên nền tảng Trend Vision One. Kịch bản simulation được dùng để mô phỏng một số kỹ thuật tấn công như T1071 - Application Layer Protocol và T1210 - Exploitation of Remote Services thông qua việc chạy một file PowerShell script trên máy Windows đóng vai trò victim.
- Trước hết, tạo một máy ảo Windows 10 đóng vai trò victim. Máy ảo này được kết nối vào cùng port group VM Network với Virtual Network Sensor để sensor có thể quan sát lưu lượng phát sinh trong quá trình chạy simulation.
- Sau khi tạo và cấu hình xong máy ảo Windows 10, tiến hành tải script simulation từ Trend Vision One và chạy script bằng PowerShell trên máy victim.
- Sau khi script chạy hoàn tất, truy cập mục Observed Attack Techniques trên Trend Vision One để kiểm tra kết quả. Tại đây, hệ thống ghi nhận nhiều alert liên quan đến các kỹ thuật tấn công được mô phỏng. Điều này cho thấy Virtual Network Sensor đã thu thập được traffic từ môi trường lab, phân tích lưu lượng và gửi dữ liệu về Trend Vision One thành công.
- Để xác nhận thêm từ phía sensor, đăng nhập vào console quản lý của Virtual Network Sensor và sử dụng lệnh “show traffic”. Lệnh này cho phép kiểm tra các thông tin như throughput, lưu lượng đã nhận và khối lượng traffic mà sensor đang thu thập/phân tích.
Bài viết liên quan
Được quan tâm
Bài viết mới