Series SOC #2 : Xây dựng SPL Alerts & Dashboard trên Splunk - Ep1!

Hoàn thành series đem lại các kết quả như sau : 1/ Phần Kết Quả Đạt Được (Khoảng 70% nội dung): "Phát hiện và Cảnh báo" (Detect & Alert) các mũi tấn công cơ bản. Thu thập được các log Windows cơ bản (Brute-force 4625, Xóa log 1102, Tạo user 4720). Thiếu khả năng giám sát ở cấp độ tiến trình (Process-level). Tập trung vào xác thực (SSH, SMB, Windows Login) và mạng cơ bản (UFW port scan, Router interface). Tạm thời bỏ qua các dịch vụ quan trọng II/ Phần Hướng Phát Triển - Roadmap (Khoảng 30% nội dung): 1/ Giám sát Điểm cuối sâu (Deep Endpoint Visibility - EDR) Kích hoạt Audit Process Tracking (EventID 4688) kèm Command Line. +Triển khai Sysmon (System Monitor): Cấu hình Sysmon EventID 1 (Tạo tiến trình), EventID 3 (Kết nối mạng), EventID 13 (Đổi Registry). 2/ Giám sát Mạng & Ứng dụng (Network & App Layer) Web App (Nginx/Apache Access Logs): mục đích nhằm dò quét Web Shell, SQL Injection hoặc Cross-Site Scripting (XSS). DNS Logs (Bind9 query.log): Bắt các hành vi DNS Tunneling hoặc các truy vấn đến Domain đen (DGA - Domain Generation Algorithms của mã độc). DHCP Logs (Kea DHCP): Phát hiện cạn kiệt IP (DHCP Starvation) hoặc máy lạ cắm vào mạng nội bộ (Rogue Device). 3/ Tình báo & Trực quan hóa SOC (Advanced Analytics & Visualization) Cảnh báo vẫn ở dạng tĩnh kèm Dashboard dạng Table hoặc biểu đồ cơ bản. Risk-Based Alerting (RBA): Xây dựng các lệnh SPL tích lũy điểm rủi ro. Dashboard Tree Map (Parent-Child Process): Sử dụng dữ liệu từ Sysmon để vẽ Tree Map. Trực quan hóa hành vi của Malware. Giá trị thực tế: Lấp đầy toàn bộ các vector tấn công trong giai đoạn Initial Access (Xâm nhập ban đầu) và Command & Control (C&C) của khung MITRE ATT&CK. 00:00 Giới thiệu 05:15 SPL Alerts & Dashboard cho SSH & SMB - Tab 2 : Identity & Authentication 22:02 SPL Alerts cho EventID 4625 & 4720 - Tab 2 : Identity & Authentication