1. Mục tiêu bài thực hành
Bài thực hành nhằm mục đích xây dựng một luồng xử lý dữ liệu SIEM hoàn chỉnh trên nền tảng OpenSearch, bao gồm các bước:- Thu thập và chuẩn hóa dữ liệu log từ các thiết bị đầu cuối (EDR) và quản lý truy cập mạng (NAC).
- Chuyển đổi dữ liệu thô sang định dạng chuẩn Elastic Common Schema (ECS).
- Xây dựng hệ thống tự động giám sát và cảnh báo (Alerting) khi phát hiện các dấu hiệu mã độc hoặc truy cập bất thường.
- Trực quan hóa dữ liệu bảo mật thông qua Dashboard quản trị.
2. Chuẩn hóa dữ liệu (Data Normalization) với Ingest Pipeline
Để đảm bảo dữ liệu từ nhiều nguồn khác nhau có tính đồng nhất, hệ thống sử dụng tính năng Ingest Pipeline của OpenSearch. Quá trình này tự động gắn dấu thời gian và đổi tên các trường dữ liệu thô sang định dạng ECS.Bảng ánh xạ dữ liệu chuẩn hóa ECS:
| Trường gốc (Raw Log) | Trường ECS chuẩn hóa | Ý nghĩa |
| Không có sẵn | @timestamp | Thời gian xử lý log (Tự động tạo qua _ingest.timestamp) |
| virus_name | threat.indicator.name | Định danh tên mã độc hoặc mối đe dọa |
| file_path | file.path | Đường dẫn tập tin chứa mã độc |
| Mới tạo | tags | Gắn nhãn phân loại mức độ (VD: MALWARE_DETECTED, CRITICAL_ALARM) |
3. Thu thập dữ liệu bảo mật (Log Ingestion)
Sau khi thiết lập Ingest Pipeline và Index Template, dữ liệu giả lập từ EDR và NAC được nạp vào OpenSearch thông qua API (Sử dụng Dev Tools). Việc cấu hình index.default_pipeline giúp mọi log đẩy vào index edr-logs-* và nac-logs-* đều tự động đi qua luồng xử lý chuẩn hóa ở trên.
4. Xây dựng Hệ thống Cảnh báo (Alerting & Monitoring)
Để phát hiện sớm các sự cố an toàn thông tin, hệ thống OpenSearch Alerting được cấu hình để quét dữ liệu liên tục.- Phương thức giám sát: Extraction Query Editor.
- Chỉ mục (Index): edr-logs-* và nac-logs-*.
- Trường thời gian: @timestamp (Đảm bảo monitor hoạt động theo lịch trình).
- Điều kiện kích hoạt (Query): Sử dụng Elasticsearch query dạng bool và filter để tìm kiếm chính xác các log có chứa nhãn mức độ cao. Ví dụ: Lọc các bản ghi có tags là MALWARE_DETECTED hoặc CRITICAL_ALARM.
5. Trực quan hóa dữ liệu (Dashboards)
Bước cuối cùng của chu trình SIEM là cung cấp cho đội ngũ SOC (Security Operations Center) cái nhìn tổng quan về tình hình an ninh mạng thông qua các biểu đồ.
- Làm mới Index Pattern: Thao tác làm mới danh sách trường (Refresh field list) trong Stack Management > Index Patterns được thực hiện để OpenSearch nhận diện các trường dạng .keyword mới được sinh ra từ Pipeline.
- Pie Chart (Biểu đồ tròn): Xây dựng biểu đồ đa lớp (Multi-level pie chart) sử dụng tập hợp (Aggregation) theo các trường .keyword. Biểu đồ này giúp thống kê nhanh chóng tỷ lệ phân bổ của các loại mã độc hoặc các máy trạm sinh ra nhiều log nhất.
- Data Table (Bảng dữ liệu): Hiển thị chi tiết danh sách các máy trạm (agent.name.keyword) bị nhiễm, đường dẫn tệp tin mã độc (file.path.keyword) và sắp xếp theo thời gian mới nhất (@timestamp Descending) để điều tra viên dễ dàng theo dõi và xử lý.
6. Kết luận
Bài thực hành đã chứng minh khả năng thu thập, chuẩn hóa, phân tích và trực quan hóa dữ liệu bảo mật mạnh mẽ của OpenSearch. Việc áp dụng ECS giúp chuẩn hóa dữ liệu từ nhiều nguồn khác nhau, tối ưu hóa việc tìm kiếm và tạo nền tảng vững chắc để xây dựng các tập luật cảnh báo (Alerting rules) phức tạp hơn trong tương lai.
