Trong vận hành SOC hiện đại, việc chỉ thu thập log là chưa đủ. Hệ thống cần có khả năng tự động xâu chuỗi (Correlate) thông tin từ nhiều nguồn để đánh giá rủi ro thực sự. Mục tiêu của Task này là xây dựng một hệ thống "Security Intelligence" có khả năng tự động đối chiếu log truy cập (NAC) với cơ sở dữ liệu lỗ hổng (OpenVAS) và tình báo mối đe dọa (MISP/OTX), từ đó đưa ra các cảnh báo có độ chính xác cao.
1. Xây dựng "Cơ sở tri thức" (Knowledge Base)
Bước đầu tiên là khởi tạo các Index chuyên biệt để lưu trữ dữ liệu tham chiếu:
Threat Intelligence (MISP/OTX AlienVault): Nạp danh sách các Indicator of Compromise (IOC), cụ thể là các địa chỉ IP của máy chủ điều khiển mã độc (C2 Server) như CobaltStrike.
Vulnerability Scanner (OpenVAS): Nạp kết quả rà quét lỗ hổng của các máy trạm trong mạng nội bộ, ví dụ như lỗ hổng rủi ro cao Log4Shell (CVE-2021-44228).
Chú thích: Quá trình Import dữ liệu Threat Intel và Vulnerability vào hệ thống OpenSearch để làm cơ sở đối chiếu.
2. Làm giàu dữ liệu linh hoạt (Data Enrichment) với Painless Scripting
Trong quá trình triển khai, hệ thống thiếu hỗ trợ API _enrich gốc. Để vượt qua trở ngại kỹ thuật này, tôi đã áp dụng phương pháp xử lý bậc cao sử dụng Script Processor (ngôn ngữ Painless) bên trong Ingest Pipeline (security-intelligence-pipeline).
Pipeline này thực hiện các tác vụ tự động khi có log NAC gửi về:
Tra cứu IP nguồn: Kiểm tra xem máy trạm có đang chứa lỗ hổng Critical nào theo kết quả quét của OpenVAS hay không.
Tra cứu IP đích: Đối chiếu IP đích với danh sách Blacklist/C2 từ MISP.
Đánh nhãn tự động: Nếu phát hiện trùng khớp, tự động gán nhãn CRITICAL_ALARM vào bản ghi.
Chú thích: Pipeline tự động làm giàu thông tin (Enrichment), nhận diện lỗ hổng và kết nối C2, đồng thời gán nhãn cảnh báo đỏ thông qua Simulate API.
3. Thiết lập hệ thống Cảnh báo tự động (Alerting)
Để đóng vòng lặp giám sát, tôi tiến hành cấu hình module Alerting trên OpenSearch Dashboards nhằm phát hiện các sự kiện mang nhãn CRITICAL_ALARM theo thời gian thực:
Tối ưu hóa Truy vấn (Query Optimization): Thay vì sử dụng truy vấn term (đòi hỏi mapping kiểu keyword tuyệt đối), tôi đã tinh chỉnh thành truy vấn match trong Extraction Query để đảm bảo không bỏ lọt bất kỳ log cảnh báo nào do sai lệch cấu trúc dữ liệu.
Thiết lập Trigger: Hệ thống cấu hình Monitor chạy định kỳ. Nếu hàm ctx.results[0].hits.total.value > 0 trả về True (phát hiện ít nhất 1 sự kiện), báo động sẽ được kích hoạt để gửi cho đội ngũ SOC.
Chú thích: Monitor kiểm tra thành công log thực tế, ghi nhận total.value = 1, minh chứng cho việc hệ thống đã phát hiện và sẵn sàng kích hoạt báo động.
4. Kết luận
Task này đã chứng minh năng lực tự động hóa ở cấp độ cao của hệ thống SIEM. Bằng cách kết hợp linh hoạt Ingest Pipeline, Painless Scripting và Alerting Monitors, hệ thống đã chuyển từ trạng thái "giám sát bị động" sang "phân tích tương quan chủ động", giúp phát hiện ngay lập tức các máy trạm có lỗ hổng đang cố gắng kết nối tới máy chủ điều khiển mã độc.
1. Xây dựng "Cơ sở tri thức" (Knowledge Base)
Bước đầu tiên là khởi tạo các Index chuyên biệt để lưu trữ dữ liệu tham chiếu:
Threat Intelligence (MISP/OTX AlienVault): Nạp danh sách các Indicator of Compromise (IOC), cụ thể là các địa chỉ IP của máy chủ điều khiển mã độc (C2 Server) như CobaltStrike.
Vulnerability Scanner (OpenVAS): Nạp kết quả rà quét lỗ hổng của các máy trạm trong mạng nội bộ, ví dụ như lỗ hổng rủi ro cao Log4Shell (CVE-2021-44228).
Chú thích: Quá trình Import dữ liệu Threat Intel và Vulnerability vào hệ thống OpenSearch để làm cơ sở đối chiếu.
2. Làm giàu dữ liệu linh hoạt (Data Enrichment) với Painless Scripting
Trong quá trình triển khai, hệ thống thiếu hỗ trợ API _enrich gốc. Để vượt qua trở ngại kỹ thuật này, tôi đã áp dụng phương pháp xử lý bậc cao sử dụng Script Processor (ngôn ngữ Painless) bên trong Ingest Pipeline (security-intelligence-pipeline).
Pipeline này thực hiện các tác vụ tự động khi có log NAC gửi về:
Tra cứu IP nguồn: Kiểm tra xem máy trạm có đang chứa lỗ hổng Critical nào theo kết quả quét của OpenVAS hay không.
Tra cứu IP đích: Đối chiếu IP đích với danh sách Blacklist/C2 từ MISP.
Đánh nhãn tự động: Nếu phát hiện trùng khớp, tự động gán nhãn CRITICAL_ALARM vào bản ghi.
Chú thích: Pipeline tự động làm giàu thông tin (Enrichment), nhận diện lỗ hổng và kết nối C2, đồng thời gán nhãn cảnh báo đỏ thông qua Simulate API.
3. Thiết lập hệ thống Cảnh báo tự động (Alerting)
Để đóng vòng lặp giám sát, tôi tiến hành cấu hình module Alerting trên OpenSearch Dashboards nhằm phát hiện các sự kiện mang nhãn CRITICAL_ALARM theo thời gian thực:
Tối ưu hóa Truy vấn (Query Optimization): Thay vì sử dụng truy vấn term (đòi hỏi mapping kiểu keyword tuyệt đối), tôi đã tinh chỉnh thành truy vấn match trong Extraction Query để đảm bảo không bỏ lọt bất kỳ log cảnh báo nào do sai lệch cấu trúc dữ liệu.
Thiết lập Trigger: Hệ thống cấu hình Monitor chạy định kỳ. Nếu hàm ctx.results[0].hits.total.value > 0 trả về True (phát hiện ít nhất 1 sự kiện), báo động sẽ được kích hoạt để gửi cho đội ngũ SOC.
Chú thích: Monitor kiểm tra thành công log thực tế, ghi nhận total.value = 1, minh chứng cho việc hệ thống đã phát hiện và sẵn sàng kích hoạt báo động.
4. Kết luận
Task này đã chứng minh năng lực tự động hóa ở cấp độ cao của hệ thống SIEM. Bằng cách kết hợp linh hoạt Ingest Pipeline, Painless Scripting và Alerting Monitors, hệ thống đã chuyển từ trạng thái "giám sát bị động" sang "phân tích tương quan chủ động", giúp phát hiện ngay lập tức các máy trạm có lỗ hổng đang cố gắng kết nối tới máy chủ điều khiển mã độc.