Phần 11: Analyzing Your SIEM

SOC / CSIRT Analyst Functions

Nhà phân tích bảo mật thường thực hiện: triage cảnh báo, xem log & nguồn dữ liệu, xem threat intelligence, quét lỗ hổng, và tìm cơ hội threat hunting.

Security Incident Interpretation

Việc xác định và đánh giá sự cố bảo mật thay đổi dựa trên mức độ đe dọa tổng thể của tổ chức.

SIEM Dashboards (Definition)

Bảng điều khiển hiển thị thông tin đã chọn theo cách trực quan, dễ diễn giải, thường dùng trong SOC.

Dashboard Visualization

Widget dùng để hiển thị record hoặc metric dưới dạng đồ thị, bảng, biểu đồ đường, heatmap…

Importance of Metric Selection

Chọn đúng chỉ số cho dashboard là yếu tố then chốt để hỗ trợ phân tích và ra quyết định chính xác.

Key Performance Indicator (KPI)

Thước đo định lượng dùng để đánh giá hiệu quả hoạt động của tổ chức hoặc cá nhân dựa trên mục tiêu đã đề ra.

KPI – Number of Vulnerabilities

Chỉ số cho biết số lượng lỗ hổng tồn tại trong hệ thống cần xử lý.

KPI – Failed Logons

Số lượng đăng nhập thất bại; giúp phát hiện brute force hoặc misuse.

KPI – Vulnerable Systems

Tổng số hệ thống chưa được vá hoặc có rủi ro bảo mật.

KPI – Security Incidents

Tổng số sự cố bảo mật được ghi nhận trong một khoảng thời gian.

KPI – Average Response Time

Thời gian trung bình mà đội SOC phản hồi lại một sự cố bảo mật.

KPI – Mean Time to Resolve (MTTR)

Thời gian trung bình để giải quyết một sự cố hoặc ticket.

KPI – Outstanding Issues

Số lượng vấn đề chưa xử lý hoặc chưa giải quyết.

KPI – Employee Security Training Count

Số lượng nhân viên đã hoàn thành huấn luyện bảo mật.

KPI – Percentage of Testing Completed

Phần trăm bài kiểm tra, bài đánh giá, hoặc quy trình kiểm thử bảo mật đã hoàn tất.

Role-Based Dashboard Configuration

Dashboard phải được cấu hình dựa trên vai trò người dùng (SOC analyst, manager, incident responder) để hiển thị thông tin phù hợp.

Analyst Responsibility – True vs False Positives

Nhà phân tích phải loại bỏ false positives và phản ứng kịp thời với true positives để tối ưu hóa hiệu quả SOC.

Conditional Analysis (Definition)

Dạng tương quan đơn giản sử dụng signature và rule-based policy để tạo cảnh báo theo điều kiện logic như: IF x AND (y OR z).

Conditional Analysis – Limitations

Tạo nhiều false positives và không phát hiện được zero-day hoặc TTPs mới vì phụ thuộc vào signature/rule đã biết.

Heuristic Analysis (Definition)

Dựa vào so sánh đặc trưng và mức độ giống nhau thay vì signature cố định để xác định hành vi tiềm ẩn nguy hiểm.

Heuristic Analysis – Machine Learning

Sử dụng ML để cảnh báo khi hành vi đủ giống một signature hoặc rule đã biết; dựa trên mô hình học từ dữ liệu được gán nhãn.

Machine Learning (Security Context)

Thành phần của AI giúp hệ thống tự học từ dữ liệu gán nhãn để phát hiện các mẫu đe dọa mà không cần hướng dẫn chi tiết.

Behavioral Analysis (Definition)

Theo dõi mạng nhằm phát hiện sự thay đổi trong chuỗi hoạt động bình thường; cảnh báo khi hành vi lệch khỏi baseline.

Behavioral Analysis – Key Concept

Cảnh báo khi dữ liệu quan sát lệch khỏi mức độ cho phép so với baseline của chính thiết bị được giám sát.

Anomaly Analysis (Definition)

Phân tích dựa trên baseline được xác định trước về các kết quả hoặc mẫu sự kiện chấp nhận được; cảnh báo khi sự kiện nằm ngoài phạm vi này.

Anomaly Analysis – Trigger

Tạo cảnh báo khi một sự kiện hoặc kết quả không tuân theo pattern/rule đã định trước.

Behavioral vs Anomaly Analysis

• Behavioral analysis: học và ghi nhận pattern bình thường của thiết bị đang được giám sát.

• Anomaly analysis: dựa trên pattern chuẩn đã được quy định sẵn (RFC, tiêu chuẩn ngành).

Zero-Day Detection Limitation (Conditional Analysis)

Conditional analysis không phát hiện zero-day vì thiếu signature/rule mới để mô tả mối đe dọa.

Baseline (Security Monitoring)

Tập giá trị hoặc hành vi “bình thường” để làm chuẩn nhằm phát hiện bất thường.

Trend Analysis (Definition)

Quá trình phát hiện các mẫu (patterns) trong dữ liệu theo thời gian để dự đoán sự kiện tương lai hoặc hiểu rõ hơn các sự kiện trong quá khứ.

Trend Analysis – Historical Insight

Cho phép xem lại các sự kiện quá khứ với góc nhìn mới, giúp phát hiện điều bất thường mà trước đây chưa nhận ra.

Trend Identification Requirement

Không thể xác định xu hướng từ một sự kiện duy nhất; cần dữ liệu theo thời gian.

Frequency-Based Analysis

Thiết lập baseline dựa trên số lần xuất hiện của một sự kiện và theo dõi tần suất của nó theo thời gian.

Volume-Based Analysis

Đo lường theo kích thước hoặc dung lượng, ví dụ dung lượng log file, lưu lượng mạng, hoặc disk space sử dụng.

Statistical Deviation Analysis

Dùng mean và độ lệch chuẩn để xác định xem dữ liệu có nằm ngoài phạm vi bình thường (outlier) hay đáng ngờ không.

Mean (Average)

Tổng giá trị chia cho số lượng mẫu trong dataset.

Trend Analysis Dependencies

Xu hướng phụ thuộc vào các metric được chọn làm baseline, như alerts, incidents, response time, host/network metrics, training, compliance, và external threat levels.

Baseline Metrics for Trend Analysis

Bao gồm: số lượng cảnh báo, thời gian phản hồi sự cố, hiệu suất hệ thống, mức độ đào tạo nhân viên, tuân thủ tiêu chuẩn và mối đe dọa bên ngoài.

Sparse Attack Techniques

Kỹ thuật tấn công thưa thớt nơi attacker rải các hoạt động nhỏ, ít gây chú ý, để ẩn mình trong “noise” của hệ thống.

Analyst System Tuning Issue

Do quá nhiều false positives, nhiều analyst giảm độ nhạy hệ thống, làm attacker dễ ẩn mình hơn.

Trend Analysis vs Sparse Attacks

Trend analysis giúp phát hiện các hoạt động nhỏ, phân tán theo thời gian mà normal detection không thấy được.

Narrative-Based Threat Awareness

Dạng trend analysis được báo cáo bằng văn bản mô tả, tường thuật long-form để ghi nhận xu hướng tấn công thường gặp theo thời gian.

Narrative-Based Intelligence

Báo cáo threat intelligence mang tính mô tả thay vì dạng dữ liệu số, dùng để nhận diện các mẫu tấn công lặp lại.

Correlation (Definition)

Quá trình diễn giải mối quan hệ giữa các điểm dữ liệu riêng lẻ để phát hiện các sự cố quan trọng đối với đội an ninh.

Correlation Rule (Definition)

Câu lệnh sử dụng điều kiện logic (AND, OR) và toán tử (==, <, >, in) để khớp dữ liệu và kích hoạt cảnh báo khi điều kiện được đáp ứng.

Logical Operators in SIEM Rules

Bao gồm AND, OR và các toán tử như == (matches), < (less than), > (greater than), in (contains).

Normalized Data Requirement

Correlation rules phụ thuộc vào dữ liệu đã được chuẩn hóa để SIEM hiểu đúng các trường dữ liệu và khớp điều kiện.

Correlation Rule Processing

Quy tắc được áp dụng lên dữ liệu khi SIEM ingest log và cần dữ liệu trong bộ nhớ (persistent state) để đối chiếu sự kiện trước đó.

SIEM Query (Definition)

Truy vấn dùng để trích xuất record từ toàn bộ dữ liệu được lưu trong SIEM nhằm phục vụ phân tích hoặc visualization.

SIEM Query Structure

Gồm 3 phần:

• SELECT (chọn trường dữ liệu)

• WHERE (điều kiện lọc)

• SORTED BY (sắp xếp theo trường)

SIEM Query Example

SELECT User WHERE Error.LogonFailure > 3 AND LogonFailure.User AND Duration < 1 hour SORTED BY date, time

Rule vs Query (Difference)

• Rule: chạy real-time trên dữ liệu mới ingest để tạo alert.

• Query: dùng để tìm kiếm hoặc phân tích dữ liệu đã lưu trữ, không tạo alert tự động.

Persistent State Data

Dữ liệu mà SIEM lưu tạm trong bộ nhớ để so sánh nhiều sự kiện liên tiếp nhằm thực hiện correlation.

Query-Based Visualization

Kết quả truy vấn có thể được dùng để tạo biểu đồ, bảng hoặc dashboard trong SIEM.

Regular Expression (Regex)

Tập ký tự mô tả mẫu tìm kiếm trong văn bản; dùng để lọc, khớp và trích xuất dữ liệu theo pattern.

Regex – Character Set [...]

Khớp một ký tự duy nhất trong nhóm, ví dụ: [a-z], [A-Z], [0-9], [\s] (whitespace), \d (digit).

Regex – Quantifier +

Khớp một hoặc nhiều ký tự, ví dụ \d+.

Regex – Quantifier *

Khớp 0 hoặc nhiều ký tự, ví dụ \d*.

→ Không xuất hiện vẫn OK, xuất hiện nhiều lần cũng OK.

Regex – Optional ?

Khớp 0 hoặc 1 lần xuất hiện.

→ Dùng khi ký tự hoặc nhóm có thể có hoặc không xuất hiện.

Regex – Repetition { }

Khớp số lần xuất hiện cụ thể, ví dụ \d{3}, \d{7-10}.

Regex – Group ( ... )

Tạo nhóm để tham chiếu bằng \1, \2, …

Regex – OR Operator |

Khớp điều kiện kiểu “A hoặc B”.

Regex – Start Anchor ^

Khớp tại đầu dòng.

Regex – End Anchor $

Khớp tại cuối dòng.

grep

Lệnh Unix/Linux/macOS để tìm chuỗi hoặc regex trong file văn bản.

grep Example – Exact Match

grep -F 192.168.1.10 access.log

grep Example – Recursive Search

grep -r "192\.168\.1\.[\d]{1,3}" .

grep Option -i

Bỏ qua phân biệt chữ hoa/chữ thường.

grep Option -v

Trả về các dòng không khớp với pattern.

grep Option -w

Xem chuỗi cần tìm như một từ hoàn chỉnh.

grep Option -c

Trả về số lượng dòng khớp.

grep Option -l

Liệt kê tên file có chứa dòng khớp.

grep Option -L

Liệt kê tên file không chứa dòng khớp.

Windows findstr

Tương đương grep trên Windows; hỗ trợ regex.

cut (Definition)

Lệnh để trích một phần của dòng văn bản bằng vị trí ký tự hoặc delimiter.

cut – Character Position

cut -c5 syslog.txt → lấy ký tự thứ 5 của mỗi dòng.

cut – Character Range

cut -c5-10 syslog.txt → lấy ký tự 5 đến 10.

cut – Delimiter Field

cut -d " " -f1-4 syslog.txt → lấy field 1–4 dùng space làm delimiter.

sort (Definition)

Lệnh dùng để sắp xếp nội dung file theo alphabet, số, hoặc theo cột chỉ định.

sort Alphabetical

sort syslog.txt → A–Z.

sort Reverse

sort -r syslog.txt → Z–A.

sort Numerical

sort -n syslog.txt → sắp theo số.

sort by Column

sort -k 2 syslog.txt → sắp theo cột 2.

sort with Delimiter

sort -t "," -k 2 syslog.txt → sắp theo cột 2 với delimiter là dấu phẩy.

head

Hiển thị 10 dòng đầu tiên của file.

tail

Hiển thị 10 dòng cuối cùng của file; hữu ích để xem log mới nhất.

Piping (Definition)

Chuyển output của lệnh đầu làm input cho lệnh sau.

Piping Example

grep "NetworkManager" /var/log/syslog | cut -d " " -f1-5 | sort -t " " -k3

Script

Danh sách các lệnh được thực thi bởi một chương trình hoặc công cụ scripting nhằm tự động hóa tác vụ lặp lại.

Purpose of Scripting in Security

Cho phép tự động hóa các tìm kiếm lặp lại, phân tích log định kỳ và xử lý dữ liệu—hiệu quả hơn so với chạy lệnh thủ công từng lần.

Bash (Definition)

Ngôn ngữ scripting và command shell mặc định của Linux/macOS, hỗ trợ biến, vòng lặp, điều kiện, hàm và nhiều tính năng tự động hóa.

Bash Script Shebang

#!/bin/bash — khai báo trình thông dịch sẽ chạy script.

PowerShell (Definition)

Ngôn ngữ scripting và command shell cho Windows, hỗ trợ biến, loops, điều kiện, hàm và các cmdlets theo cú pháp Verb-Noun.

PowerShell Cmdlet Syntax

Dạng Verb-Noun, ví dụ: Get-EventLog, Out-File

WMIC (Definition)

Công cụ cho phép xem log remote hoặc truy vấn event log trên máy Windows từ dòng lệnh.

Python (Security Use)

Ngôn ngữ phổ biến dùng cho automation, tool development, incident response, parsing log, và offensive scripting.

Ruby (Security Use)

Được dùng trong penetration testing (ví dụ Metasploit), log analysis, automation.

AWK (Definition)

Engine scripting mạnh dùng để trích xuất và chỉnh sửa dữ liệu từ file hoặc data stream, rất phổ biến trong log analysis.