Trend Micro NDR Thực hiện thiết kế mô hình

TÍCH HỢP HỆ THỐNG PHÒNG THỦ GIỮA ENDPOINT VÀ MẠNG

1. Sơ đồ Kiến trúc Logic (Logical Architecture)​

Mô hình được phân rã thành 3 phân vùng luận lý chính dựa trên luồng dữ liệu và cơ chế điều khiển:

2. Vị trí Triển khai và Thành phần Thiết bị​

a. Thành phần NDR (Trend Micro Deep Discovery Inspector)​

• Vị trí triển khai: Kết nối trực tiếp vào các cổng SPAN (Switch Port Analyzer) hoặc thiết bị Network TAP trên Core Switch (Switch trung tâm) của doanh nghiệp.
• Chế độ hoạt động: Hoạt động ở chế độ thụ động (Passive Mode / Promiscuous Mode). Thiết bị chỉ nhận một bản sao (Mirror) của luồng dữ liệu, đảm bảo không can thiệp trực tiếp vào hiệu năng định tuyến hoặc làm tăng độ trễ của các gói tin trong mạng gốc.

b. Thành phần Endpoint (Sophos Intercept X)​

• Vị trí triển khai: Cài đặt trực tiếp lên toàn bộ các máy trạm của người dùng (Windows/macOS) và các hệ thống máy chủ dịch vụ nội bộ (Windows Server/Linux).
• Chế độ hoạt động: Hoạt động ở chế độ chủ động (Active Mode), kiểm soát tài nguyên hệ thống, bộ nhớ, tiến trình và các hành vi tệp tin theo thời gian thực.

3. Quy trình Vận hành và Cơ chế Phối hợp Phản hồi​

Mô hình thiết kế này giải quyết bài toán cốt lõi: Khi một giải pháp phát hiện mối đe dọa, giải pháp còn lại sẽ thực thi hành động ngăn chặn.

Kịch bản 1: Phát hiện từ Mạng (NDR) -> Phản hồi tại Endpoint​

1. Mã độc ẩn mình bên trong một tệp tin di chuyển qua giao thức chia sẻ file nội bộ (SMB) từ Host A sang Host B.
2. Trend Micro DDI bắt được luồng dữ liệu này qua cổng SPAN, trích xuất tệp tin và đẩy vào môi trường Custom Sandbox để kích hoạt ngầm. Sandbox kết luận tệp tin có hành vi mã hóa phá hoại nguy hiểm.
3. Cảnh báo cùng chỉ số nhận diện (File Hash, IP của Host A) lập tức đẩy lên đám mây Trend Vision One.
4. Thông qua liên kết API bảo mật tích hợp giữa hai hệ thống đám mây, Sophos Central nhận được chỉ số IoC này.
5. Sophos Central lập tức ra lệnh xuống Sophos Agent trên Host A để thực hiện lệnh Cô lập mạng (Network Isolation), đồng thời quét sâu để tiêu diệt tệp tin gốc, ngăn chặn Host A tiếp tục phát tán mã độc ra toàn mạng.

Kịch bản 2: Phát hiện từ Endpoint -> Phản hồi tại Tầng Mạng​

1. Người dùng tại Host C vô tình kích hoạt một tiến trình độc hại từ USB. Tiến trình này thực hiện kỹ thuật tiêm mã (Process Injection) để chiếm quyền kiểm soát hệ thống.
2. Công nghệ giám sát hành vi của Sophos Intercept X phát hiện tiến trình đang cố gắng thao tác trái phép vào bộ nhớ, lập tức chặn đứng tiến trình và kích hoạt trạng thái cảnh báo nguy hiểm (Red Alert).
3. Sophos gửi thông tin cảnh báo lên Sophos Central, đồng thời đồng bộ trạng thái xuống thiết bị Tường lửa (Firewall) qua cơ chế Security Heartbeat.
4. Ngay lập tức, Tường lửa Gateway hủy bỏ mọi quyền truy cập Internet và các phân vùng mạng nhạy cảm (như vùng Database/Server) của Host C cho đến khi Sophos Agent hoàn tất việc cách ly và làm sạch (Remediation) thiết bị.

4. Ưu điểm của Mô hình Thiết kế Hợp nhất​

• Xóa bỏ điểm mù (Visibility): Kết hợp giữa tầm nhìn sâu của Endpoint (biết rõ tiến trình nào, tài khoản nào đang chạy trên máy) và tầm nhìn rộng của NDR (thấy rõ luồng di chuyển ngầm giữa các máy trong mạng mà Endpoint đôi khi không được cài đặt để giám sát).
• Tự động hóa chuỗi phản hồi (SOAR): Giảm thiểu tối đa thời gian phản hồi sự cố (Mean Time to Respond - MTTR). Hệ thống tự động cô lập thiết bị nhiễm độc trong vòng vài giây mà không cần sự can thiệp thủ công từ quản trị viên.
• Tối ưu hóa tài nguyên: Giảm tải cho đội ngũ vận hành nhờ khả năng tương quan dữ liệu tự động trên đám mây, loại bỏ các cảnh báo trùng lặp hoặc cảnh báo giả giữa các tầng bảo mật.