Trong bức tranh phòng thủ an ninh mạng hiện đại, Rule-Based Monitoring (giám sát dựa trên luật/ràng buộc) đóng vai trò như một “công cụ cảnh vệ” cực kỳ quan trọng. Khác với Signature-Based Monitoring (dựa trên chữ ký), vốn phụ thuộc vào cơ sở dữ liệu các mẫu tấn công đã biết, Rule-Based Monitoring dựa trên các quy tắc do quản trị viên định nghĩa để giám sát hành vi, sự kiện hoặc luồng dữ liệu. Đặc trưng của Rule-Based Monitoring

• Dựa vào các luật/heuristics tùy chỉnh thay vì chỉ so khớp mẫu.
• Có thể phát hiện hành vi bất thường hoặc vi phạm chính sách bảo mật.
• Được tinh chỉnh cho từng tổ chức, phù hợp với yêu cầu tuân thủ và đặc thù vận hành.
• Có khả năng đáp ứng các chuẩn mực pháp lý (PCI DSS, HIPAA, GDPR, ISO 27001...).

Tuy nhiên, điểm yếu cố hữu là cần được duy trì, cập nhật liên tục để thích ứng với bối cảnh đe dọa luôn thay đổi.

---

Các Danh Mục Rule-Based Monitoring

1. Network Rule-Based Monitoring

• Theo dõi traffic mạng, kiểm soát cổng, địa chỉ IP, giao thức.
• Ứng dụng: bảo vệ biên mạng, phát hiện xâm nhập, ACL động.
• Công cụ: Firewall, IDS/IPS.

2. Endpoint Rule-Based Monitoring

• Giám sát hoạt động trên máy trạm, server.
• Ứng dụng: phát hiện malware, insider threat, USB cắm trái phép.
• Công cụ: EDR, Antivirus.

3. Application Rule-Based Monitoring

• Theo dõi ứng dụng và API.
• Ứng dụng: bảo vệ web app, SQL injection, outbound kết nối lạ.
• Công cụ: APM, WAF.

4. User Behavior Rule-Based Monitoring

• Giám sát hành vi người dùng: login bất thường, truy cập ngoài giờ.
• Công cụ: SIEM, UBA.

5. Cloud Rule-Based Monitoring

• Theo dõi hoạt động trong AWS, Azure, GCP.
• Ứng dụng: bucket public, security group thay đổi, region không được phép.
• Công cụ: CloudWatch, Azure Monitor, Google Ops Suite.

6. Identity & Access Rule-Based Monitoring

• Bảo vệ IAM, MFA, account privilege.
• Ứng dụng: login từ vị trí lạ, tài khoản admin tạo user mới.

7. Resource Utilization Monitoring

• Giám sát CPU, RAM, Disk, Network usage.
• Ứng dụng: phát hiện DoS/DDoS, outage.
• Công cụ: Nagios, Zabbix, SolarWinds.

8. File Integrity Rule-Based Monitoring

• Theo dõi thay đổi file cấu hình hoặc dữ liệu nhạy cảm.
• Ứng dụng: phát hiện malware chèn mã, file bị chỉnh sửa.
• Công cụ: Tripwire, OSSEC.

9. Compliance Monitoring

• Đảm bảo tuân thủ chuẩn mực: mật khẩu, mã hóa, dữ liệu nhạy cảm.
• Công cụ: Qualys, Nessus, Splunk Compliance.

10. Event Correlation Monitoring

• Kết hợp nhiều sự kiện để phát hiện mẫu tấn công phức tạp (APT).
• Ứng dụng: login bất thường kèm file transfer, scan port kèm brute force.
• Công cụ: SIEM (Splunk, QRadar, ArcSight).

---

Quy Trình Rule-Based Detection

1. Rule Definition – Xây dựng luật dựa trên hành vi hợp lệ & hành vi nghi ngờ.
2. Data Collection – Thu thập log, packet, event từ endpoint, network, cloud.
3. Rule Matching – So khớp dữ liệu với rule.
4. Action Trigger – Sinh cảnh báo hoặc phản ứng tự động (block, isolate, quarantine).

---

Ưu Điểm và Hạn Chế

Ưu điểm

• Rõ ràng, minh bạch: dễ audit, dễ giải thích.
• Tùy biến cao: phù hợp từng môi trường.
• Hiệu quả: giảm nhiễu nhờ tập trung vào tình huống cụ thể.

Hạn chế

• Bảo trì nặng: phải update liên tục.
• Giới hạn: khó phát hiện mối đe dọa chưa biết.
• False positive cao nếu rule viết chưa tối ưu.

---

So Sánh với Signature-Based Monitoring

• Signature-based: nhanh, chính xác với mối đe dọa đã biết → dùng trong Antivirus, IDS/IPS.
• Rule-based: linh hoạt, phát hiện hành vi bất thường → dùng trong SIEM, UBA, Compliance.
• Kết hợp cả hai: tạo nên hệ thống phòng thủ đa lớp, giảm thiểu blind spot.

---

Ví Dụ Đời Thực

• Security Guard analogy: Bảo vệ tòa nhà kiểm tra checklist hành vi khả nghi.
• Airport analogy: Kiểm tra an ninh sân bay, mọi hành vi vi phạm rule đều bị flag.

---

Tóm tắt


Trong kỷ nguyên Zero Trust và SOC hiện đại, Rule-Based Monitoring là công cụ không thể thiếu. Dù có hạn chế, nhưng khi tích hợp với Signature-Based và Anomaly-Based Monitoring, nó tạo nên một lá chắn mạnh mẽ chống lại từ threat truyền thống cho tới APT tinh vi.
​