Công cụ Phân tích SOC – Từ Hạ tầng Đến Ứng dụng Thực chiến


Trong một SOC (Security Operations Center), “vũ khí” quan trọng nhất không phải là số lượng nhân sự, mà chính là hệ sinh thái công cụ phục vụ cho việc thu thập, phân tích và phản ứng với các mối đe dọa an ninh.

Một SOC hiện đại thường triển khai hạ tầng gồm các năng lực cốt lõi:

• Lập bản đồ mạng: Xác định cấu trúc, tài nguyên, và các kết nối.
• Giám sát mạng: Theo dõi lưu lượng và hành vi theo thời gian thực.
• Phát hiện lỗ hổng: Tìm ra các điểm yếu tiềm ẩn trong hạ tầng.
• Kiểm tra xâm nhập: Mô phỏng tấn công để đánh giá khả năng phòng thủ.
• Thu thập dữ liệu: Lấy log, gói tin, sự kiện từ nhiều nguồn.
• Phát hiện mối đe dọa & bất thường: Tận dụng IDS/IPS, phân tích hành vi.
• Tổng hợp và tương quan dữ liệu: Kết nối nhiều nguồn thông tin để tìm ra “bức tranh toàn cảnh”.

---

Security Onion – Nền tảng SOC mã nguồn mở mạnh mẽ


Security Onion là một bản phân phối Linux tích hợp nhiều công cụ an ninh mạng, cung cấp:

• Quản lý và phân tích nhật ký
• Ghi lại toàn bộ gói tin (Full Packet Capture)
• NSM (Network Security Monitoring)
• IDS (Intrusion Detection System)

Các thành phần chính:

• Snort: NIDS/NIPS dựa trên rule, phát hiện mối đe dọa thời gian thực.
• Suricata: NIDS/NIPS dựa trên script, phân tích lưu lượng nâng cao.
• Zeek (Bro): Phân tích giao thức, log chi tiết >35 giao thức, trích xuất file từ lưu lượng.
• Wazuh (OSSEC): HIDS đa nền tảng, giám sát host và hệ thống.
• Netsniff-ng: Ghi lưu lượng ở dạng PCAP.
• Sysmon: Giám sát log sự kiện Windows.
• Syslog-ng: Thu thập log từ nhiều nguồn.

Ví dụ thực tế: IDS gửi cảnh báo từ Snort → phân tích viên dùng ELSA truy vấn log → xác nhận dấu hiệu tấn công.

---

Công cụ Phân tích Mạng trong SOC

• Wireshark – Phân tích gói tin chuyên sâu
• Sguil – Bảng điều khiển phân tích sự kiện và phiên
• Squert – Giao diện web PHP hỗ trợ phân tích
• NetworkMiner – Phân tích PCAP, trích xuất artefacts
• CyberChef – Công cụ thao tác dữ liệu qua web
• CapME – Xem và tải về PCAP đầy đủ

---

Elastic Stack (ELK) tích hợp trong Security Onion

• Elasticsearch – Lưu trữ và lập chỉ mục log
• Logstash – Thu nhận và xử lý log
• Kibana – Visualization và dashboard
• TheHive – Quản lý sự cố, tích hợp MISP
• Elastic Beats – Agent nhẹ gửi dữ liệu về ELK
• Curator – Quản lý chỉ mục theo lịch
• ElastAlert – Cảnh báo bất thường từ Elasticsearch
• FreqServer – Phát hiện DGA và tên đối tượng ngẫu nhiên
• DomainStats – Tra cứu whois, cung cấp bối cảnh tên miền

---

Giải pháp từ Cisco

• Cisco Secure Network Analytics: Phân tích luồng IP dựa trên NetFlow.
• Cisco XDR: Nền tảng XDR gốc đám mây, tích hợp bảo mật đa sản phẩm, tự động hóa phản ứng.

---

Công cụ Kiểm tra Xâm nhập (Penetration Testing)


Mục tiêu: Khai thác điểm yếu để đánh giá khả năng phòng thủ thực tế.
Khác với đánh giá lỗ hổng (chỉ tìm và báo cáo), kiểm tra xâm nhập thực sự khai thác để chứng minh rủi ro.

Kali Linux – Kho vũ khí kiểm thử:

• Metasploit Framework
• Armitage (GUI của Metasploit)
• Social Engineer Toolkit (SET)

Ví dụ: Armitage khai thác lỗ hổng Apache Struts → thiết lập reverse shell → chạy whoami trên máy nạn nhân.

---

Câu hỏi Ôn tập


C1: Hai công cụ nào trong Security Onion có thể phát hiện xâm nhập?
→ Snort và Suricata

C2: Thành phần nào của Security Onion là daemon log nhận dữ liệu từ nhiều nguồn?
→ Syslog-ng
​