Tweet
🔥 Bạn đã bao giờ tự hỏi tại sao SOC Analyst không thể chỉ dựa vào một loại dữ liệu duy nhất để điều tra sự cố an ninh mạng? Thực tế, mỗi loại dữ liệu trong giám sát an ninh mạng giống như một mảnh ghép trong bức tranh lớn: từ “hóa đơn điện thoại” (session data) cho đến “nghe lén đường dây” (full packet capture). Chỉ khi ghép tất cả chúng lại, bức tranh toàn cảnh mới xuất hiện.
Trong SOC, khi phản ứng với sự cố, analyst phải hiểu rõ attack kill chain và chọn đúng loại dữ liệu để phân tích. Sau đây là những loại dữ liệu quan trọng nhất:
1. Session Data (Dữ liệu phiên)
2. Full Packet Capture (Ghi lại gói tin đầy đủ)
3. Transaction Data (Dữ liệu giao dịch)
4. Extracted Data (Dữ liệu trích xuất)
5. Statistical Data (Dữ liệu thống kê)
6. Alert Data (Dữ liệu cảnh báo)
7. External Data (Dữ liệu bên ngoài)
🎯 Câu hỏi ôn tập
👉 Tóm lại: Một SOC Analyst giỏi phải biết khi nào dùng session data để nhìn bức tranh tổng thể, khi nào đào sâu vào packet capture để mổ xẻ chi tiết, và khi nào dựa vào transaction hay alert để định hướng điều tra.
Trong SOC, khi phản ứng với sự cố, analyst phải hiểu rõ attack kill chain và chọn đúng loại dữ liệu để phân tích. Sau đây là những loại dữ liệu quan trọng nhất:
1. Session Data (Dữ liệu phiên)
- Còn gọi là flow data, mô tả một cuộc hội thoại tóm tắt giữa hai thiết bị đầu cuối.
- Ví dụ: giống như hóa đơn điện thoại – biết ai gọi ai, lúc nào, trong bao lâu, nhưng không biết nội dung cuộc gọi.
- Bao gồm 5-tuple: transport protocol, source IP, source port, destination IP, destination port.
- Chuẩn phổ biến: NetFlow v5, NetFlow v9, IPFIX.
👉 Hữu ích khi cần biết ai kết nối với ai, vào lúc nào, dung lượng bao nhiêu.
2. Full Packet Capture (Ghi lại gói tin đầy đủ)
- Tương tự wiretap (nghe lén). Ghi cả header và payload.
- Ưu điểm: có thể xem toàn bộ nội dung trao đổi, ví dụ file, email, lệnh SQL injection…
- Nhược điểm: cần dung lượng lưu trữ khổng lồ, phân tích phức tạp.
- Định dạng phổ biến: PCAP.
👉 Thích hợp khi muốn “mổ xẻ” chi tiết cách kẻ tấn công khai thác lỗ hổng.
3. Transaction Data (Dữ liệu giao dịch)
- Ghi lại các hoạt động xảy ra do session hoặc trên hệ thống.
- Ví dụ: log HTTP daemon, SMTP server, hoặc log hệ điều hành (login/logout).
- Không phải lúc nào session cũng tạo transaction.
👉 Giúp phân tích hoạt động ứng dụng và hệ thống chi tiết.
4. Extracted Data (Dữ liệu trích xuất)
- Là các artifact lấy từ lưu lượng mạng hoặc từ PCAP.
- Ví dụ: file đính kèm email, file tải về, chuỗi dữ liệu cụ thể.
- Có thể gồm: danh sách DNS request/reply, IP host, TCP port mở, OS fingerprint…
👉 Dùng để tìm dấu vết kẻ tấn công hoặc IOC.
5. Statistical Data (Dữ liệu thống kê)
- Tổng hợp từ các loại khác, để tạo baseline hoạt động mạng.
- Ví dụ: biểu đồ số kết nối HTTP mỗi phút trong 1 tháng.
- Công cụ: baseline graphs, top reports (ai request nhiều nhất, domain nào được truy cập nhiều nhất...).
👉 Giúp phát hiện bất thường khi so với baseline.
6. Alert Data (Dữ liệu cảnh báo)
- Sinh ra bởi IDS/IPS khi có traffic khớp rule.
- Ưu điểm: xử lý khối lượng lớn dữ liệu real-time.
- Nhược điểm: có thể false positive/false negative.
👉 Dùng để phát hiện nhanh, nhưng SOC Analyst phải xác minh lại.
7. External Data (Dữ liệu bên ngoài)
- Là threat intelligence feeds từ các nguồn bên ngoài.
- Cung cấp IoC, chữ ký, rule mới để SOC cập nhật.
👉 Giúp tổ chức phòng thủ chủ động trước các mối đe dọa mới.
🎯 Câu hỏi ôn tập
- Acme bị kẻ xấu scan mạng để thu thập thông tin. SOC analyst cần dữ liệu cơ bản (ai kết nối ai, khi nào). Loại dữ liệu nào phù hợp nhất?
👉 Session data - Website của Acme bị deface bằng SQL injection. Analyst muốn biết chi tiết cách kẻ tấn công khai thác web server. Loại dữ liệu nào phù hợp nhất?
👉 Full packet capture - Acme nghi ngờ nhân viên gửi dữ liệu mật cho đối thủ qua email. Analyst cần kiểm tra nội dung email đính kèm. Loại dữ liệu nào phù hợp nhất?
👉 Extracted data
👉 Tóm lại: Một SOC Analyst giỏi phải biết khi nào dùng session data để nhìn bức tranh tổng thể, khi nào đào sâu vào packet capture để mổ xẻ chi tiết, và khi nào dựa vào transaction hay alert để định hướng điều tra.
Attached Files