Mục tiêu: Tự động phát hiện các máy trạm trong mạng nội bộ kết nối ra bên ngoài tới các địa chỉ IP hoặc URL độc hại (Command and Control Server - C2, Phishing, Malware Domain) dựa trên danh sách cập nhật (Blacklist) toàn cầu từ các nền tảng Threat Intelligence như MISP hoặc OpenCTI.
Ý tưởng luồng đi của dữ liệu: Log mạng thô (từ Firewall/Proxy) khi đẩy vào OpenSearch sẽ được đi qua một Ingest Pipeline. Pipeline này có nhiệm vụ kiểm tra IP đích (destination.ip). Nếu IP này trùng với danh sách IP độc hại của Threat Intel, hệ thống sẽ tự động làm giàu dữ liệu (enrichment) bằng cách thêm thông tin chi tiết về mối đe dọa và gắn nhãn cảnh báo nguy hiểm (TI_MATCH_FOUND).
2. Cấu hình Luồng Xử lý Dữ liệu (Ingest Pipeline) & Giả lập nạp Log
Do một số giới hạn phiên bản OpenSearch đối với bộ xử lý enrich thuần túy, bài thực hành đã áp dụng giải pháp tối ưu bằng cấu hình Conditional Scripting trong Ingest Pipeline để đối chiếu logic trực tiếp.
Tạo Pipeline (ti-enrichment-pipeline): Định nghĩa bộ quy tắc: Nếu log mạng có chứa destination.ip là 185.15.22.10 (IP máy chủ Cobalt Strike C2 từ nguồn MISP), hệ thống sẽ tự động thêm trường dữ liệu threat_intel_details và đẩy nhãn bảo mật vào trường tags.
Giả lập nạp log tấn công: Đẩy một bản ghi log mạng từ thiết bị PaloAlto-Firewall với nội dung máy trạm 192.168.1.50 đang cố gắng kết nối đến IP độc hại 185.15.22.10 qua cổng 443.
3. Thiết lập Hệ thống Cảnh báo tự động (Alerting Monitor)
Sau khi dữ liệu mạng được phân loại và gắn tag chuẩn hóa thành công, chúng ta thiết lập một "bẫy giám sát" (Monitor) hoạt động theo thời gian thực (Real-time tracking).
Phương thức định nghĩa: Sử dụng Extraction query editor quét trên index mạng network-logs-2026-05.
Điều kiện lọc (Query): Hệ thống tìm kiếm tất cả các bản ghi có chứa giá trị tags là "TI_MATCH_FOUND". Khi bộ lọc phát hiện số lượng log thỏa mãn lớn hơn 0 (ctx.results[0].hits.total.value > 0), một cảnh báo mức độ cao nhất (Severity 1 - Highest) sẽ lập tức được kích hoạt nhằm thông báo cho đội SOC xử lý cách ly máy trạm bị nhiễm.
4. Khởi tạo Index Pattern và Trực quan hóa trên Dashboard
Để giám sát tập trung phục vụ công tác điều tra sự cố (Incident Response), một bảng dữ liệu động chi tiết đã được xây dựng trên Dashboard quản trị.
Khởi tạo Index Pattern: Thực hiện đăng ký mẫu chỉ mục network-logs-* với OpenSearch Dashboards, lựa chọn trường @timestamp làm trường thời gian gốc để hệ thống quản lý đồng bộ.
Xử lý lỗi kỹ thuật (Mẹo bộ lọc thời gian): Trong quá trình xây dựng biểu đồ, lỗi "No results found" xuất hiện do mặc định hệ thống chỉ hiển thị dữ liệu trong 15 phút gần nhất. Bằng cách mở rộng khung thời gian tìm kiếm lên "Last 1 year" (hoặc khung thời gian phù hợp), dữ liệu ẩn đã được gọi ra đầy đủ.
Thiết lập bảng giám sát (Data Table Visualization): Biểu đồ dạng Table được cấu hình để trích xuất các thông tin cốt lõi gồm:
source.ip (IP máy trạm nạn nhân).
destination.ip (IP máy chủ độc hại bên ngoài).
threat_intel_details.threat.name (Tên nhận diện mối đe dọa từ MISP).
5. Kết luận bài thực hành
Thông qua task thực hành này, hệ thống SIEM không chỉ dừng lại ở việc đọc log thiết bị (EDR) độc lập mà đã nâng cấp lên khả năng Phân tích tương quan dữ liệu mạng với tri thức an ninh mạng toàn cầu (Threat Intelligence). Việc tự động hóa phát hiện này giúp giảm thiểu tối đa thời gian phát hiện (Mean Time to Detect - MTTD) đối với các cuộc tấn công có chủ đích (APT) vào hệ thống doanh nghiệp.
