Hoàng Doanh
Intern
Bên cạnh Monitoring/Scanning, Trend Vision One còn cung cấp mục Network Resources để người quản trị định nghĩa các tài nguyên mạng quan trọng hoặc đáng tin cậy trong môi trường vận hành. Các cấu hình này giúp hệ thống có thêm ngữ cảnh khi phân tích traffic, từ đó hỗ trợ phân loại cảnh báo, giảm false positive và ưu tiên xử lý các sự kiện liên quan đến tài sản quan trọng.
Trong phạm vi lab, các danh sách trong Network Resources được giữ ở trạng thái mặc định. Nội dung phần này tập trung vào việc tìm hiểu vai trò của từng loại resource và cách chúng có thể được sử dụng trong môi trường thực tế.
I. Trusted Domain List
Trusted Domain List là danh sách các domain được đánh dấu là tin cậy. Các domain này thường là domain nội bộ, domain của hệ thống doanh nghiệp hoặc các dịch vụ hợp lệ thường xuyên được sử dụng.
Danh sách này giúp hệ thống có thêm ngữ cảnh khi đánh giá các kết nối mạng. Ví dụ, các kết nối đến domain đã được xác định là hợp lệ có thể được xử lý khác với các domain lạ hoặc đáng ngờ.
Vai trò chính:
II. Trusted Service Source List
Trusted Service Source List là danh sách các nguồn dịch vụ đáng tin cậy trong hệ thống. Các nguồn này có thể là server nội bộ, dịch vụ quản trị, hệ thống cập nhật hoặc các thành phần thường xuyên tạo traffic hợp lệ.
Việc định nghĩa Trusted Service Source giúp hệ thống tránh đánh giá nhầm các hoạt động hợp pháp là hành vi tấn công, đặc biệt trong các môi trường có nhiều dịch vụ nội bộ phát sinh traffic định kỳ.
Vai trò chính:
III. Network Group List
Network Group List cho phép nhóm các tài nguyên mạng theo logic, chẳng hạn như subnet, phòng ban, khu vực hệ thống hoặc nhóm máy chủ có cùng chức năng.
Tính năng này giúp việc theo dõi và điều tra trở nên trực quan hơn. Thay vì phân tích từng IP riêng lẻ, người quản trị có thể xem xét sự kiện theo từng nhóm tài nguyên, ví dụ nhóm server, nhóm máy người dùng hoặc nhóm hệ thống quan trọng.
Vai trò chính:
IV. Report Exclusion List
Report Exclusion List là danh sách các đối tượng được loại trừ khỏi report, thường là các domain hoặc nguồn dữ liệu không cần thiết cho mục tiêu phân tích.
Tính năng này giúp report tập trung hơn vào các sự kiện quan trọng, tránh hiển thị quá nhiều dữ liệu ít giá trị hoặc các event đã được xác định là không liên quan.
Vai trò chính:
V. Priority Server List
Priority Server List là danh sách các server quan trọng trong hệ thống, ví dụ domain controller, database server, file server, application server hoặc các hệ thống nghiệp vụ trọng yếu.
Khi một sự kiện bảo mật liên quan đến các server này, hệ thống có thể ưu tiên hiển thị hoặc đánh giá mức độ ảnh hưởng cao hơn. Điều này giúp đội ngũ vận hành bảo mật tập trung xử lý trước các sự kiện có khả năng ảnh hưởng lớn đến hệ thống.
Vai trò chính:
VI. Nhận xét
Các cấu hình trong Network Resources không trực tiếp tạo ra detection rule mới, nhưng đóng vai trò bổ sung ngữ cảnh cho quá trình phân tích. Trong môi trường thực tế, việc định nghĩa đúng trusted domain, trusted service, network group và priority server có thể giúp hệ thống giảm false positive, cải thiện chất lượng cảnh báo và hỗ trợ điều tra nhanh hơn.
Trong môi trường lab, các danh sách này được giữ ở trạng thái mặc định vì mục tiêu chính là kiểm thử khả năng thu thập, phân tích traffic và sinh cảnh báo của Virtual Network Sensor. Việc tinh chỉnh Network Resources sẽ phù hợp hơn khi triển khai trong môi trường có sơ đồ mạng, tài sản và dịch vụ thực tế rõ ràng.
VII. Kết luận
Tính năng Network Resources giúp Trend Vision One hiểu rõ hơn về môi trường mạng được giám sát. Thông qua việc định nghĩa các domain tin cậy, nguồn dịch vụ hợp lệ, nhóm tài nguyên mạng, đối tượng loại trừ khỏi báo cáo và server quan trọng, hệ thống có thể hỗ trợ phân tích cảnh báo theo ngữ cảnh tốt hơn.
Đối với bài lab này, việc giữ nguyên cấu hình mặc định là phù hợp vì chưa cần thực hiện fine-tuning. Tuy nhiên, trong môi trường production, đây là nhóm cấu hình quan trọng cần được thiết lập cẩn thận để tăng độ chính xác khi phát hiện và ưu tiên xử lý mối đe dọa.
Trong phạm vi lab, các danh sách trong Network Resources được giữ ở trạng thái mặc định. Nội dung phần này tập trung vào việc tìm hiểu vai trò của từng loại resource và cách chúng có thể được sử dụng trong môi trường thực tế.
I. Trusted Domain List
Trusted Domain List là danh sách các domain được đánh dấu là tin cậy. Các domain này thường là domain nội bộ, domain của hệ thống doanh nghiệp hoặc các dịch vụ hợp lệ thường xuyên được sử dụng.
Danh sách này giúp hệ thống có thêm ngữ cảnh khi đánh giá các kết nối mạng. Ví dụ, các kết nối đến domain đã được xác định là hợp lệ có thể được xử lý khác với các domain lạ hoặc đáng ngờ.
Vai trò chính:
- Hạn chế false positive đối với các domain hợp lệ.
- Hỗ trợ phân biệt traffic bình thường và traffic đáng ngờ.
- Phù hợp với các môi trường có nhiều domain nội bộ hoặc dịch vụ tin cậy.
II. Trusted Service Source List
Trusted Service Source List là danh sách các nguồn dịch vụ đáng tin cậy trong hệ thống. Các nguồn này có thể là server nội bộ, dịch vụ quản trị, hệ thống cập nhật hoặc các thành phần thường xuyên tạo traffic hợp lệ.
Việc định nghĩa Trusted Service Source giúp hệ thống tránh đánh giá nhầm các hoạt động hợp pháp là hành vi tấn công, đặc biệt trong các môi trường có nhiều dịch vụ nội bộ phát sinh traffic định kỳ.
Vai trò chính:
- Xác định các nguồn traffic hợp lệ trong hệ thống.
- Giảm nhiễu cảnh báo từ các dịch vụ đã được tin cậy.
- Hỗ trợ quá trình phân tích traffic theo ngữ cảnh thực tế.
III. Network Group List
Network Group List cho phép nhóm các tài nguyên mạng theo logic, chẳng hạn như subnet, phòng ban, khu vực hệ thống hoặc nhóm máy chủ có cùng chức năng.
Tính năng này giúp việc theo dõi và điều tra trở nên trực quan hơn. Thay vì phân tích từng IP riêng lẻ, người quản trị có thể xem xét sự kiện theo từng nhóm tài nguyên, ví dụ nhóm server, nhóm máy người dùng hoặc nhóm hệ thống quan trọng.
Vai trò chính:
- Nhóm các IP/subnet theo chức năng hoặc khu vực.
- Hỗ trợ phân tích và điều tra theo từng nhóm tài nguyên.
- Giúp xác định phạm vi ảnh hưởng khi có sự kiện bảo mật.
IV. Report Exclusion List
Report Exclusion List là danh sách các đối tượng được loại trừ khỏi report, thường là các domain hoặc nguồn dữ liệu không cần thiết cho mục tiêu phân tích.
Tính năng này giúp report tập trung hơn vào các sự kiện quan trọng, tránh hiển thị quá nhiều dữ liệu ít giá trị hoặc các event đã được xác định là không liên quan.
Vai trò chính:
- Loại bỏ các event không cần thiết khỏi báo cáo.
- Giảm nhiễu khi xem báo cáo bảo mật.
- Giúp người quản trị tập trung vào các mối đe dọa quan trọng hơn.
V. Priority Server List
Priority Server List là danh sách các server quan trọng trong hệ thống, ví dụ domain controller, database server, file server, application server hoặc các hệ thống nghiệp vụ trọng yếu.
Khi một sự kiện bảo mật liên quan đến các server này, hệ thống có thể ưu tiên hiển thị hoặc đánh giá mức độ ảnh hưởng cao hơn. Điều này giúp đội ngũ vận hành bảo mật tập trung xử lý trước các sự kiện có khả năng ảnh hưởng lớn đến hệ thống.
Vai trò chính:
- Đánh dấu các server quan trọng cần ưu tiên giám sát.
- Hỗ trợ đánh giá mức độ nghiêm trọng của sự kiện.
- Giúp ưu tiên xử lý khi có cảnh báo liên quan đến tài sản trọng yếu.
VI. Nhận xét
Các cấu hình trong Network Resources không trực tiếp tạo ra detection rule mới, nhưng đóng vai trò bổ sung ngữ cảnh cho quá trình phân tích. Trong môi trường thực tế, việc định nghĩa đúng trusted domain, trusted service, network group và priority server có thể giúp hệ thống giảm false positive, cải thiện chất lượng cảnh báo và hỗ trợ điều tra nhanh hơn.
Trong môi trường lab, các danh sách này được giữ ở trạng thái mặc định vì mục tiêu chính là kiểm thử khả năng thu thập, phân tích traffic và sinh cảnh báo của Virtual Network Sensor. Việc tinh chỉnh Network Resources sẽ phù hợp hơn khi triển khai trong môi trường có sơ đồ mạng, tài sản và dịch vụ thực tế rõ ràng.
VII. Kết luận
Tính năng Network Resources giúp Trend Vision One hiểu rõ hơn về môi trường mạng được giám sát. Thông qua việc định nghĩa các domain tin cậy, nguồn dịch vụ hợp lệ, nhóm tài nguyên mạng, đối tượng loại trừ khỏi báo cáo và server quan trọng, hệ thống có thể hỗ trợ phân tích cảnh báo theo ngữ cảnh tốt hơn.
Đối với bài lab này, việc giữ nguyên cấu hình mặc định là phù hợp vì chưa cần thực hiện fine-tuning. Tuy nhiên, trong môi trường production, đây là nhóm cấu hình quan trọng cần được thiết lập cẩn thận để tăng độ chính xác khi phát hiện và ưu tiên xử lý mối đe dọa.
Bài viết liên quan
Được quan tâm
Bài viết mới