Hoàng Doanh
Intern
Sau khi Virtual Network Sensor đã được triển khai, onboard thành công và xác nhận có thể thu thập traffic, bước tiếp theo là tìm hiểu cách Trend Vision One xử lý dữ liệu mạng thông qua các cấu hình Monitoring/Scanning.
Trong bài lab này, mình tập trung quan sát các cấu hình mặc định liên quan đến quá trình phát hiện mối đe dọa, bao gồm Detection Rules, Detection Exceptions và Packet Capture. Các cấu hình này ảnh hưởng trực tiếp đến cách hệ thống phân tích lưu lượng, sinh cảnh báo và hỗ trợ quá trình điều tra sau này.
Ở phần này, mình tìm hiểu các cấu hình mặc định có sẵn trong mục Monitoring/Scanning của Trend Vision One. Đây là nhóm cấu hình liên quan đến cách hệ thống phát hiện, loại trừ và hỗ trợ phân tích các mối đe dọa dựa trên dữ liệu được thu thập từ Virtual Network Sensor.
Trong phạm vi lab, các thiết lập được giữ ở trạng thái mặc định nhằm quan sát cách hệ thống hoạt động khi chưa thực hiện fine-tuning. Nội dung tập trung vào ba thành phần chính: Detection Rules, Detection Exceptions và Packet Capture.
I. Detection Rules
Detection Rules là tập hợp các quy tắc phát hiện được Trend Vision One cung cấp sẵn nhằm nhận diện các hành vi bất thường hoặc độc hại trong lưu lượng mạng. Các rule này có thể dựa trên nhiều hướng phân tích khác nhau, chẳng hạn như kiểm tra nội dung traffic, đặc điểm giao thức hoặc hành vi giao tiếp mạng.
Một số nhóm rule tiêu biểu bao gồm:
Bộ Detection Rules đóng vai trò nền tảng cho quá trình kiểm thử. Khi tạo traffic mô phỏng trong các bài lab trước, các hoạt động bất thường có thể kích hoạt rule tương ứng và được ghi nhận dưới dạng alert hoặc Observed Attack Techniques trên Trend Vision One.
II. Detection Exceptions
Detection Exceptions cho phép người quản trị định nghĩa các trường hợp ngoại lệ nhằm loại trừ những cảnh báo không mong muốn. Tính năng này thường được sử dụng để giảm false positive khi một địa chỉ IP, host, ứng dụng hoặc loại traffic cụ thể đã được xác định là hợp lệ trong môi trường vận hành.
Quản trị viên có thể thêm ngoại lệ thủ công hoặc import danh sách ngoại lệ thông qua file CSV. Việc cấu hình Detection Exceptions cần được thực hiện cẩn thận, vì nếu loại trừ quá rộng có thể khiến hệ thống bỏ sót các hành vi đáng ngờ.
Trong môi trường lab, mục này không được cấu hình thêm và không có dữ liệu hiển thị. Lý do là phạm vi lab chủ yếu nhằm kiểm tra khả năng phát hiện của hệ thống, chưa cần thực hiện tinh chỉnh hoặc tối ưu rule để giảm false positive.
III. Packet Capture
Packet Capture là tính năng cho phép thu thập và lưu trữ lưu lượng mạng dưới dạng file PCAP để phục vụ phân tích chuyên sâu. Dữ liệu PCAP có thể hữu ích khi cần kiểm tra chi tiết nội dung gói tin, tái hiện phiên giao tiếp hoặc phân tích thủ công bằng các công cụ như Wireshark.
Tuy nhiên, trong phạm vi lab này, tính năng Packet Capture không được sử dụng vì chỉ khả dụng đối với thiết bị Deep Discovery Inspector và không được hỗ trợ trên Virtual Network Sensor. Do đó, bài lab tập trung vào việc phân tích dữ liệu dựa trên metadata, hành vi mạng và các alert được sinh ra trên Trend Vision One.
IV. Nhận xét
Qua phần Monitoring/Scanning, có thể thấy Trend Vision One đã cung cấp sẵn bộ Detection Rules để phục vụ quá trình phát hiện mối đe dọa từ traffic mạng. Trong môi trường lab, việc giữ cấu hình mặc định giúp dễ dàng quan sát cách hệ thống phản ứng với các traffic mô phỏng.
Detection Exceptions phù hợp hơn với môi trường vận hành thực tế, nơi hệ thống có thể phát sinh false positive và cần tinh chỉnh để giảm nhiễu cảnh báo. Trong khi đó, Packet Capture là tính năng hữu ích cho phân tích chuyên sâu nhưng không nằm trong phạm vi kiểm thử với Virtual Network Sensor.
Trong bài lab này, mình tập trung quan sát các cấu hình mặc định liên quan đến quá trình phát hiện mối đe dọa, bao gồm Detection Rules, Detection Exceptions và Packet Capture. Các cấu hình này ảnh hưởng trực tiếp đến cách hệ thống phân tích lưu lượng, sinh cảnh báo và hỗ trợ quá trình điều tra sau này.
Ở phần này, mình tìm hiểu các cấu hình mặc định có sẵn trong mục Monitoring/Scanning của Trend Vision One. Đây là nhóm cấu hình liên quan đến cách hệ thống phát hiện, loại trừ và hỗ trợ phân tích các mối đe dọa dựa trên dữ liệu được thu thập từ Virtual Network Sensor.
Trong phạm vi lab, các thiết lập được giữ ở trạng thái mặc định nhằm quan sát cách hệ thống hoạt động khi chưa thực hiện fine-tuning. Nội dung tập trung vào ba thành phần chính: Detection Rules, Detection Exceptions và Packet Capture.
I. Detection Rules
Detection Rules là tập hợp các quy tắc phát hiện được Trend Vision One cung cấp sẵn nhằm nhận diện các hành vi bất thường hoặc độc hại trong lưu lượng mạng. Các rule này có thể dựa trên nhiều hướng phân tích khác nhau, chẳng hạn như kiểm tra nội dung traffic, đặc điểm giao thức hoặc hành vi giao tiếp mạng.
Một số nhóm rule tiêu biểu bao gồm:
- Phát hiện file đáng ngờ, ví dụ file thực thi hoặc script.
- Phát hiện hành vi bất thường, chẳng hạn nhiều lần đăng nhập thất bại.
- Phát hiện kết nối đến máy chủ điều khiển C2.
- Phát hiện bất thường trong các giao thức mạng như HTTP, DNS, SMB.
Bộ Detection Rules đóng vai trò nền tảng cho quá trình kiểm thử. Khi tạo traffic mô phỏng trong các bài lab trước, các hoạt động bất thường có thể kích hoạt rule tương ứng và được ghi nhận dưới dạng alert hoặc Observed Attack Techniques trên Trend Vision One.
II. Detection Exceptions
Detection Exceptions cho phép người quản trị định nghĩa các trường hợp ngoại lệ nhằm loại trừ những cảnh báo không mong muốn. Tính năng này thường được sử dụng để giảm false positive khi một địa chỉ IP, host, ứng dụng hoặc loại traffic cụ thể đã được xác định là hợp lệ trong môi trường vận hành.
Quản trị viên có thể thêm ngoại lệ thủ công hoặc import danh sách ngoại lệ thông qua file CSV. Việc cấu hình Detection Exceptions cần được thực hiện cẩn thận, vì nếu loại trừ quá rộng có thể khiến hệ thống bỏ sót các hành vi đáng ngờ.
Trong môi trường lab, mục này không được cấu hình thêm và không có dữ liệu hiển thị. Lý do là phạm vi lab chủ yếu nhằm kiểm tra khả năng phát hiện của hệ thống, chưa cần thực hiện tinh chỉnh hoặc tối ưu rule để giảm false positive.
III. Packet Capture
Packet Capture là tính năng cho phép thu thập và lưu trữ lưu lượng mạng dưới dạng file PCAP để phục vụ phân tích chuyên sâu. Dữ liệu PCAP có thể hữu ích khi cần kiểm tra chi tiết nội dung gói tin, tái hiện phiên giao tiếp hoặc phân tích thủ công bằng các công cụ như Wireshark.
Tuy nhiên, trong phạm vi lab này, tính năng Packet Capture không được sử dụng vì chỉ khả dụng đối với thiết bị Deep Discovery Inspector và không được hỗ trợ trên Virtual Network Sensor. Do đó, bài lab tập trung vào việc phân tích dữ liệu dựa trên metadata, hành vi mạng và các alert được sinh ra trên Trend Vision One.
IV. Nhận xét
Qua phần Monitoring/Scanning, có thể thấy Trend Vision One đã cung cấp sẵn bộ Detection Rules để phục vụ quá trình phát hiện mối đe dọa từ traffic mạng. Trong môi trường lab, việc giữ cấu hình mặc định giúp dễ dàng quan sát cách hệ thống phản ứng với các traffic mô phỏng.
Detection Exceptions phù hợp hơn với môi trường vận hành thực tế, nơi hệ thống có thể phát sinh false positive và cần tinh chỉnh để giảm nhiễu cảnh báo. Trong khi đó, Packet Capture là tính năng hữu ích cho phân tích chuyên sâu nhưng không nằm trong phạm vi kiểm thử với Virtual Network Sensor.
Bài viết liên quan
Được quan tâm
Bài viết mới