Tweet
Trong các hệ thống phòng vệ hiện đại, biết rõ tài sản mạng (asset visibility) là nền tảng để xây dựng khả năng phòng thủ hiệu quả. Trên Cisco Secure Firewall Threat Defense (FTD), chức năng Khám phá (Discovery) cho phép thu thập thông tin về máy chủ, dịch vụ, ứng dụng, người dùng và lỗ hổng, từ đó cung cấp dữ liệu đầu vào cho các cơ chế bảo mật tự động. 1. Cơ chế hoạt động của Network Discovery Policy
Điểm quan trọng: bạn nên chỉ định rõ dải mạng nội bộ cần giám sát. Điều này giúp tránh việc hệ thống tạo ra hồ sơ không cần thiết cho các IP trên Internet. 2. Khám phá thụ động và chủ động
Trong thực tế, các tổ chức thường kết hợp hai phương pháp: thụ động để bao phủ toàn bộ lưu lượng, và chủ động để bổ sung chi tiết cho các máy chủ quan trọng. 3. Giá trị của dữ liệu khám phá
Thông tin từ Discovery Policy được sử dụng xuyên suốt hệ thống:
Một Server Profile chính xác là yếu tố then chốt trong triển khai FTD. Hồ sơ này bao gồm:
Ví dụ: nếu phát hiện Windows 7, hệ thống sẽ tự động gắn các lỗ hổng tương ứng với phiên bản này. Đây là nền tảng để đưa ra cảnh báo chính xác và tránh tình trạng “false positive” trong giám sát an ninh. 5. Chính sách và quy tắc khám phá (Discovery Rules)
Điều này giúp bạn tối ưu hóa dữ liệu, chỉ tập trung vào môi trường nội bộ, tránh “nhiễu loạn” từ traffic bên ngoài. 6. Lỗ hổng và IoC trong hồ sơ máy chủ
Cơ chế này biến Server Profile thành một “trung tâm điều phối” để liên kết threat intel, lỗ hổng và hoạt động thực tế.
🎯 Ôn tập nhanh
Câu hỏi: Hai mục nào sau đây có thể được tìm thấy trong một hồ sơ máy chủ?
✅ Đáp án đúng:
👉 Nhìn rộng hơn, Discovery Policy trên Cisco Secure Firewall không chỉ đơn thuần là “asset inventory”. Nó chính là lớp nền tảng của Threat Defense, cho phép context-aware security: từ IPS tuning, điều tra sự cố, cho đến phân tích mối đe dọa ở cấp độ hệ điều hành và ứng dụng.
- Chính sách khám phá (Discovery Policy) được cấu hình trong Firepower Management Center (FMC).
- FTD quan sát lưu lượng mạng đi qua, sau đó gửi dữ liệu khám phá về FMC.
- FMC xây dựng Server Profile – hồ sơ chi tiết cho từng host/máy chủ.
- Hồ sơ này gồm: hệ điều hành, dịch vụ, ứng dụng, cổng mở, kết nối, hoạt động người dùng, thậm chí cả dữ liệu từ quét chủ động (ví dụ: Nmap).
Điểm quan trọng: bạn nên chỉ định rõ dải mạng nội bộ cần giám sát. Điều này giúp tránh việc hệ thống tạo ra hồ sơ không cần thiết cho các IP trên Internet. 2. Khám phá thụ động và chủ động
- Passive Discovery: Phân tích lưu lượng đi qua firewall để nhận diện OS, ứng dụng, client. Đây là phương thức mặc định, không gây ảnh hưởng đến hệ thống.
- Active Discovery: Bổ sung thông tin bằng cách sử dụng công cụ quét tích hợp như Nmap để dò OS, dịch vụ, và so khớp với dữ liệu đã có.
Trong thực tế, các tổ chức thường kết hợp hai phương pháp: thụ động để bao phủ toàn bộ lưu lượng, và chủ động để bổ sung chi tiết cho các máy chủ quan trọng. 3. Giá trị của dữ liệu khám phá
Thông tin từ Discovery Policy được sử dụng xuyên suốt hệ thống:
- IPS Impact Flag: Khi một sự kiện IPS xảy ra, hệ thống sẽ so sánh với hồ sơ máy chủ để xác định liệu máy chủ đó có thực sự dễ bị khai thác hay không.
- Auto-Tuning IPS Rules: FTD có thể tự động điều chỉnh các quy tắc IPS dựa trên đặc điểm hệ điều hành, ứng dụng và lỗ hổng phát hiện.
- Điều tra sự cố (Incident Investigation): Khi SOC phân tích một sự kiện, hồ sơ máy chủ cung cấp toàn cảnh về hoạt động gần đây, dịch vụ đang chạy, IoC gắn cờ, và các sự kiện malware liên quan.
Một Server Profile chính xác là yếu tố then chốt trong triển khai FTD. Hồ sơ này bao gồm:
- Địa chỉ IP máy chủ.
- Hệ điều hành và phiên bản.
- Dịch vụ/ứng dụng đang chạy.
- Cổng mở và giao thức.
- Thông tin người dùng hoạt động trong 24h gần nhất.
- IoC (Indicator of Compromise) gắn cờ dựa trên dữ liệu sự kiện.
- Các lỗ hổng (CVE) được liên kết tự động từ Vulnerability Database (VDB).
Ví dụ: nếu phát hiện Windows 7, hệ thống sẽ tự động gắn các lỗ hổng tương ứng với phiên bản này. Đây là nền tảng để đưa ra cảnh báo chính xác và tránh tình trạng “false positive” trong giám sát an ninh. 5. Chính sách và quy tắc khám phá (Discovery Rules)
- Mặc định: Có một rule sẵn có để phát hiện tất cả ứng dụng từ mọi lưu lượng quan sát được.
- Tùy chỉnh: Bạn có thể tạo thêm rule để chỉ định rõ: dải mạng, vùng (zone), cổng nào cần hoặc không cần khám phá.
- Triển khai (Deploy): Sau khi chỉnh sửa Discovery Policy, cần triển khai lại lên thiết bị để kích hoạt chính sách mới.
Điều này giúp bạn tối ưu hóa dữ liệu, chỉ tập trung vào môi trường nội bộ, tránh “nhiễu loạn” từ traffic bên ngoài. 6. Lỗ hổng và IoC trong hồ sơ máy chủ
- Vulnerabilities: Được ánh xạ từ VDB, hiển thị theo OS/dịch vụ đã phát hiện.
- Indicators of Compromise (IoC): Gắn cờ dựa trên sự kiện xâm nhập, malware, kết nối đáng ngờ. SOC Analyst có thể drill-down vào các sự kiện kích hoạt IoC, thay đổi trạng thái hoặc gỡ bỏ tag khi đã xử lý.
Cơ chế này biến Server Profile thành một “trung tâm điều phối” để liên kết threat intel, lỗ hổng và hoạt động thực tế.
🎯 Ôn tập nhanh
Câu hỏi: Hai mục nào sau đây có thể được tìm thấy trong một hồ sơ máy chủ?
- Địa chỉ IP của máy chủ
- Điều khiển RDP
- Điều khiển SSH
- Hệ điều hành của máy chủ
- Danh sách card mạng
✅ Đáp án đúng:
- Địa chỉ IP của máy chủ
- Hệ điều hành của máy chủ
👉 Nhìn rộng hơn, Discovery Policy trên Cisco Secure Firewall không chỉ đơn thuần là “asset inventory”. Nó chính là lớp nền tảng của Threat Defense, cho phép context-aware security: từ IPS tuning, điều tra sự cố, cho đến phân tích mối đe dọa ở cấp độ hệ điều hành và ứng dụng.
Attached Files