Bài 6: Security Monitoring, SIEM, SOC

1. Tổng quan về Giám sát An ninh

2. Giám sát các Giao thức Thông dụng

2.1 Syslog

So sánh các biến thể Syslog

Công cụ	Tác giả	Năm	Loại	Đặc điểm
syslog	Eric Allman	1980	Protocol/Specification	Chuẩn logging, định nghĩa format và độ tin cậy
syslog-ng	Balázs Scheidler	1998	Syslog implementation	TCP, content-based filtering
rsyslog	Rainer Gerhards	2004	Syslog implementation	REPL, TCP forwarding, TLS, advanced filtering

2.2 NTP (Network Time Protocol)

2.3 DNS

DNS Exfiltration – Đánh cắp dữ liệu qua DNS

Malware mã hoá (encode) dữ liệu đánh cắp vào phần subdomain của truy vấn DNS:

aW4gcGxhY2UgdG8gcHJvdGVjdC5leGFtcGxlLmNvbQ==.example.com
BhZ2FpbnN0IEROUyBiYXNIZCB0a.example.com
HJlYXRzIHRoYW4gdGdlSBoYXZl.example.com
IHRvIHByb3RlY3QgWgYWdhaW5z.example.com

→ Dữ liệu được Base64-encode trong subdomain, ngụy trang là DNS query bình thường

2.4 HTTP và HTTPS

HTTP

HTTPS

sequenceDiagram participant C as Client Browser participant S as Web Server C->>S: Request trang bảo mật (https://) S->>C: Gửi Public Key kèm Certificate Note over C: Xác minh Certificate (chưa hết hạn, trusted CA) C->>S: Tạo Symmetric Key, gửi cho Server (mã hoá bằng Public Key) S->>S: Giải mã Symmetric Key bằng Private Key S->>C: Mã hoá trang bằng Symmetric Key và gửi C->>C: Giải mã bằng Symmetric Key, hiển thị trang

2.5 Giao thức Email (SMTP, POP3, IMAP)

Giao thức	Chức năng	Rủi ro
SMTP	Gửi dữ liệu từ host đến server mail, giữa các server mail	Không phải lúc nào cũng được giám sát
IMAP	Tải email từ server mail về host	Có thể tải malware về host
POP3	Tải email từ server mail về host	Có thể tải malware về host

2.6 ICMP

3. Các Công nghệ An ninh và Ảnh hưởng đến Giám sát

3.1 ACLs (Access Control Lists)

3.2 NAT và PAT

3.3 Mã hoá (Encryption) và Tunneling

3.4 Mạng Peer-to-Peer (P2P) và Tor

3.5 Load Balancing (Cân bằng tải)

4. Các Loại Dữ liệu An ninh

4.1 Dữ liệu Cảnh báo (Alert Data)

5. Các File Log

5.1 Log của Host (End Device)

Loại sự kiện	Mô tả
Error	Sự kiện chỉ ra vấn đề nghiêm trọng như mất dữ liệu hoặc mất chức năng
Warning	Không nhất thiết nghiêm trọng nhưng có thể chỉ ra vấn đề trong tương lai
Information	Mô tả hoạt động thành công của ứng dụng, driver, hoặc dịch vụ
Success Audit	Ghi lại một lần thử truy cập bảo mật đã được kiểm tra thành công
Failure Audit	Ghi lại một lần thử truy cập bảo mật đã được kiểm tra thất bại

5.2 Syslog – Cấu trúc gói tin

<165>1 2019-08-01T15:30:54.001Z ubuntu-box apache 200 20031 - "The Apache Server encountered an error"
 ^^^                                                                                                    
 PRI   |←————————————— HEADER ——————————————→|  |←————————————— MSG ————————————————————————————→|

Phần	Nội dung
PRI	Priority = (Facility × 8) + Severity
HEADER	Timestamp, Hostname
MSG	Nội dung dạng văn bản

Syslog Severity

Integer	Severity
0	Emergency: System is unusable
1	Alert: Action must be taken immediately
2	Critical: Critical conditions
3	Error: Error conditions
4	Warning: Warning conditions
5	Notice: Normal but significant condition
6	Informational: Informational messages
7	Debug: Debug-level messages

Syslog Facility

Integer	Facility
0	kern: Kernel messages
1	user: User-level messages
2	mail: Mail system
3	daemon: System daemons
4	auth: Security/authorization messages
5	syslog: Messages generated internally by Syslogd
6	lpr: Line printer subsystem
7	news: Network news subsystem
8	uucp: Unix-to-Unix copy subsystem
9	Clock daemon
10	authpriv: Security/authorization messages
11	ftp: FTP daemon
12	NTP subsystem
13	Log audit

5.3 Log của Server

Apache Access Log

203.0.113.127 - dsmith [10/Oct/2016:10:26:57 -0500] "GET /logo_sm.gif HTTP/1.0" 200 2254 "http://www.example.com/links.html" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0"

Field	Tên	Mô tả	Ví dụ
1	Client IP	Địa chỉ IP client	203.0.113.127
2	Client identity	Thường bỏ qua	-
3	User ID	Tên user đã xác thực	dsmith
4	Timestamp	Ngày giờ request	[10/Oct/2016:10:26:57 -0500]
5	Request	Phương thức và tài nguyên	GET /logo_sm.gif HTTP/1.0
6	Status Code	HTTP status code	200
7	Size of Response	Bytes trả về client	2254
8	Referrer	Nguồn dẫn đến	http://www.example.com/links.html
9	User Agent	Trình duyệt client	Mozilla/5.0 … Firefox/47.0

IIS Access Log

6/14/2016, 16:22:43, 203.0.113.24, -, W3SVC2, WEB3, 198.51.100.10, 80, GET, /home.htm, -, 200, 0, 15321, 159, 15, HTTP/1.1, Mozilla/5.0 ...

Field	Tên	Ví dụ
date	Ngày	6/14/2016
time	Giờ (UTC)	16:22:43
c-ip	Client IP	203.0.113.24
cs-username	User đã xác thực	-
s-sitename	Internet service name	W3SVC2
s-computername	Server name	WEB3
s-ip	Server IP	198.51.100.10
s-port	Server port	80
cs-method	HTTP method	GET
cs-uri-stem	Target	/home.htm
sc-status	HTTP Status	200
sc-bytes	Bytes sent	15321
cs-bytes	Bytes received	159
time-taken	Thời gian xử lý (ms)	15
cs-version	Protocol version	HTTP/1.1
cs(User-Agent)	Browser	Mozilla/5.0 …

6. SIEM – Security Information and Event Management

6.1 Tổng quan SIEM

Các chức năng của SIEM:

Thu thập log
Chuẩn hoá
Tương quan sự kiện
Tích hợp
Báo cáo
Tuân thủ CNTT

graph TD A[IDS/IPS] --> SIEM B[Antimalware Devices] --> SIEM C[Full Packet Captures] --> SIEM D[NetFlow Telemetry] --> SIEM E[Threat Intelligence / Asset Mgmt / Log Storage] --> SIEM F[Compliance Reporting] --> SIEM SIEM --> G[Firewalls] SIEM --> H[HIDS] SIEM --> I[Server Logs and Syslog] SIEM --> J[Incident Management System] SIEM --> K[Alerts and Automation] SIEM --> L[Dashboards and Reports]

6.2 ELK Stack – SIEM Mã nguồn mở

Thành phần	Vai trò
Elasticsearch	Công cụ tìm kiếm văn bản theo hướng tài liệu – Stockage
Logstash	Bộ tích hợp, thu thập và xử lý dữ liệu từ nhiều nguồn – ETL
Kibana	Dashboard phân tích và tìm kiếm chạy trên trình duyệt – Visualisation
Beats	Công cụ chuyển log nhỏ gọn, hỗ trợ mã hoá, có cơ chế khôi phục tốt

7. SOC – Security Operations Center

7.1 SOC là gì?

graph TD subgraph People FT[Formal Training] IT[Internal Training] OJE[On-the-Job Experience] VST[Vendor-Specific Training] end subgraph Technology EP[Endpoint] NF[Netflow] IDM[Incident Detection/Management] NetMon[Network Monitoring] Forensics TI[Threat Intel] end subgraph Process Prep[Preparation] ID[Identification] Contain[Containment] Erad[Eradication] Recov[Recovery] LL[Lessons Learned] end People --> SOC Technology --> SOC Process --> SOC

Các thành phần hỗ trợ SOC:

Log Collection
Aggregation & Correlation
SIEM
Ticketing
Knowledge Base
Threat Intelligence
Research & Development
Reporting

7.2 So sánh SIEM – SOC – NOC

	NOC	SOC	SIEM
Viết tắt	Network Operations Center	Security Operations Center	Security Information and Event Management
Tập trung	Giảm downtime, đảm bảo SLA	Phân tích mối đe doạ và lỗ hổng	Công cụ quản lý sự kiện an ninh
Bản chất	Trung tâm vận hành mạng	Nhóm chuyên gia + công cụ	Một phần công việc của SOC

8. Tóm tắt

50 Câu Trắc Nghiệm

Câu 1. Security Monitoring còn được gọi là gì?

A. SIM và SEM
B. SOC và SIEM
C. IDS và IPS
D. NAT và PAT

Câu 2. Server Syslog thường lắng nghe trên port nào?

A. TCP 514
B. UDP 514
C. UDP 123
D. TCP 443

Câu 3. NTP hoạt động trên port nào?

A. UDP 53
B. TCP 80
C. UDP 123
D. TCP 514

Câu 4. Gói tin Syslog gồm những phần nào?

A. SRC, DST, MSG
B. PRI, HEADER, MSG
C. FACILITY, SEVERITY, BODY
D. TIMESTAMP, HOST, DATA

Câu 5. Công thức tính Syslog Priority (PRI) là gì?

A. PRI = Facility + Severity
B. PRI = Severity × 8 + Facility
C. PRI = Facility × 8 + Severity
D. PRI = Facility × Severity

Câu 6. Syslog Severity = 0 tương ứng với mức độ nào?

A. Debug
B. Warning
C. Emergency
D. Critical

Câu 7. Syslog Severity = 4 tương ứng với mức độ nào?

A. Error
B. Warning
C. Notice
D. Alert

Câu 8. Trong Syslog Facility, giá trị 0 tương ứng với nguồn nào?

A. user
B. mail
C. auth
D. kern

Câu 9. PRI = 165. Facility và Severity tương ứng là bao nhiêu?

A. Facility = 20, Severity = 5
B. Facility = 5, Severity = 20
C. Facility = 21, Severity = 3
D. Facility = 16, Severity = 5

Câu 10. Kẻ tấn công có thể lợi dụng NTP để làm gì?

A. Đánh cắp password
B. Gián đoạn thông tin thời gian và chỉ đạo tấn công DDoS
C. Chặn gói tin DNS
D. Bypass tường lửa

Câu 11. Kỹ thuật DNS Exfiltration mã hoá dữ liệu vào phần nào của truy vấn DNS?

A. Phần TLD (Top-Level Domain)
B. Phần subdomain
C. Phần record type
D. Phần TTL

Câu 12. Dấu hiệu nào của DNS traffic được coi là đáng ngờ?

A. Truy vấn đến google.com
B. Truy vấn DNS với subdomain dạng chuỗi ngẫu nhiên rất dài, số lượng nhiều bất thường
C. Phản hồi DNS có TTL thấp
D. Truy vấn DNS loại A record

Câu 13. Trong tấn công HTTP iFrame Injection, kẻ tấn công làm gì?

A. Tấn công DNS server
B. Chiếm web server và cài mã độc tạo iFrame ẩn trên các trang web thường được truy cập
C. Tấn công vào giao thức HTTPS
D. Giả mạo địa chỉ IP nguồn

Câu 14. HTTP khác HTTPS ở điểm nào?

A. HTTP dùng TCP, HTTPS dùng UDP
B. HTTPS thêm lớp mã hoá SSL/TLS vào HTTP
C. HTTP chạy trên port 443, HTTPS chạy trên port 80
D. HTTPS không cần certificate

Câu 15. Tại sao HTTPS gây khó khăn cho giám sát an ninh?

A. HTTPS chạy trên port không chuẩn
B. Traffic HTTPS được mã hoá nên không thể đọc nội dung
C. HTTPS không để lại log
D. HTTPS không dùng TCP

Câu 16. Giao thức email nào được dùng để GỬI email từ host đến server mail?

A. POP3
B. IMAP
C. SMTP
D. FTP

Câu 17. IMAP và POP3 có thể bị lợi dụng để làm gì?

A. Gửi spam
B. Tải malware về host
C. Tấn công DDoS
D. Bypass ACL

Câu 18. ICMP Tunneling là gì?

A. Mã hoá gói tin ICMP bằng SSL
B. Malware tạo gói ICMP để truyền file từ host bị nhiễm đến kẻ tấn công
C. Dùng ICMP để scan port
D. Tấn công DoS bằng ICMP flood

Câu 19. ACLs có thể tạo ra điều gì nguy hiểm trong bảo mật?

A. Chặn toàn bộ traffic
B. False sense of security (cảm giác sai về an toàn)
C. Làm chậm mạng
D. Mã hoá traffic

Câu 20. NAT và PAT gây khó khăn gì cho giám sát an ninh?

A. Làm chậm tốc độ mạng
B. Ẩn địa chỉ IP riêng bên trong mạng, khó truy vết nguồn gốc
C. Làm tăng chi phí hạ tầng
D. Không ảnh hưởng gì

Câu 21. Malware có thể dùng Tunneling để làm gì?

A. Tăng tốc kết nối
B. Tạo tunnel mã hoá bằng giao thức phổ biến để đánh cắp dữ liệu
C. Bypass NTP
D. Tạo kết nối P2P hợp lệ

Câu 22. Mạng Tor có đặc điểm gì?

A. Tăng tốc độ kết nối Internet
B. Cho phép người dùng truy cập Internet ẩn danh, có thể che giấu danh tính kẻ tấn công
C. Là giao thức email bảo mật
D. Là công cụ quét lỗ hổng

Câu 23. Ứng dụng P2P nào KHÔNG nên cho phép hoạt động trong mạng công ty?

A. Ứng dụng email
B. Ứng dụng web
C. Ứng dụng chia sẻ file P2P
D. Ứng dụng DNS

Câu 24. Load Balancing có thể gây ra vấn đề gì trong giám sát an ninh?

A. Làm mất log
B. Một kết nối có thể xuất hiện với nhiều địa chỉ IP → các đặc điểm đáng ngờ trong bắt gói tin
C. Làm chậm SIEM
D. Bypass tường lửa

Câu 25. HIDPS là viết tắt của gì?

A. Host-based Intrusion Detection and Prevention System
B. High-level Intrusion Detection Protocol System
C. Hardware Intrusion Detection and Prevention System
D. Hybrid Intrusion Detection Protocol System

Câu 26. Trên Windows, công cụ nào dùng để xem log sự kiện?

A. Task Manager
B. Registry Editor
C. Event Viewer
D. Device Manager

Câu 27. Loại sự kiện Windows nào ghi lại một lần đăng nhập THÀNH CÔNG?

A. Error
B. Warning
C. Success Audit
D. Failure Audit

Câu 28. Loại sự kiện Windows nào ghi lại khi một dịch vụ KHÔNG khởi động được?

A. Warning
B. Information
C. Failure Audit
D. Error

Câu 29. Dữ liệu cảnh báo (Alert Data) trong giám sát an ninh đến từ đâu?

A. Server DNS
B. IDS/IPS khi có traffic vi phạm chính sách
C. Syslog server
D. Load Balancer

Câu 30. Snort là gì?

A. Một SIEM thương mại
B. Một Network IDS được cấu hình với các rule để phát hiện tấn công đã biết
C. Một giao thức logging
D. Một SOC tool

Câu 31. Sguil là gì và thuộc bộ công cụ nào?

A. Một SIEM, thuộc bộ công cụ Elastic
B. Ứng dụng đọc cảnh báo Snort, thuộc bộ công cụ Security Onion
C. Một IDS, thuộc bộ công cụ Splunk
D. Một firewall, thuộc bộ công cụ Cisco

Câu 32. SIEM là viết tắt của gì?

A. Security Incident and Event Monitoring
B. Security Information and Event Management
C. System Intrusion and Event Management
D. Security Information and Event Monitoring

Câu 33. SIEM kết hợp chức năng của những gì?

A. IDS và IPS
B. Firewall và Antivirus
C. SEM (Security Event Management) và SIM (Security Information Management)
D. NAT và PAT

Câu 34. Splunk là gì?

A. Một giao thức logging
B. Một SIEM phổ biến
C. Một firewall
D. Một IDS/IPS

Câu 35. ELK Stack bao gồm những thành phần nào?

A. Elasticsearch, Logstash, Kibana
B. Email, Log, Key
C. Elastic, Linux, Kibana
D. Event, Log, Knowledge

Câu 36. Trong ELK Stack, Logstash có vai trò gì?

A. Hiển thị dashboard
B. Lưu trữ và tìm kiếm dữ liệu
C. Thu thập và xử lý dữ liệu từ nhiều nguồn (ETL)
D. Chuyển log từ host

Câu 37. Trong ELK Stack, Kibana có vai trò gì?

A. Thu thập log
B. Lưu trữ dữ liệu
C. Dashboard phân tích và tìm kiếm, chạy trên trình duyệt
D. Chuyển log từ host

Câu 38. Trong ELK Stack, Elasticsearch có vai trò gì?

A. Tạo dashboard
B. Công cụ tìm kiếm văn bản theo hướng tài liệu (Stockage)
C. Thu thập log
D. Gửi cảnh báo

Câu 39. Beats trong ELK Stack có vai trò gì?

A. Tạo dashboard
B. Lưu trữ dữ liệu
C. Công cụ chuyển log nhỏ gọn, hỗ trợ mã hoá
D. Phân tích log

Câu 40. SOC là viết tắt của gì?

A. System Operations Center
B. Security Operations Center
C. Security Online Center
D. System Online Control

Câu 41. SOC bao gồm những yếu tố nào?

A. Chỉ cần phần cứng và phần mềm
B. Chuyên gia, quy trình và công nghệ
C. Chỉ cần SIEM
D. Firewall và IDS

Câu 42. NOC khác SOC ở điểm nào?

A. NOC tập trung vào bảo mật, SOC tập trung vào uptime
B. NOC tập trung vào giảm downtime/đảm bảo SLA, SOC phân tích sâu về mối đe doạ mạng
C. NOC và SOC có chức năng giống nhau
D. SOC tập trung vào phần cứng, NOC tập trung vào phần mềm

Câu 43. Mối quan hệ giữa SIEM và SOC là gì?

A. SIEM và SOC là một
B. SOC là nhóm chuyên gia và công cụ, SIEM là một phần công việc/công cụ mà SOC sử dụng
C. SIEM thay thế cho SOC
D. SOC là một phần của SIEM

Câu 44. Apache Access Log sử dụng định dạng nào?

A. JSON và XML
B. CLF (Common Log Format) và dạng kết hợp
C. CSV và TSV
D. Binary và Hexadecimal

Câu 45. Trong Apache Access Log, trường nào cho biết browser của client?

A. Client IP
B. Status Code
C. Referrer
D. User Agent

Câu 46. Log của server DNS proxy có thể xác định điều gì?

A. Tốc độ kết nối mạng
B. Các host đã truy cập website nguy hiểm và phát hiện tấn công DNS exfiltration
C. Số lượng người dùng trên mạng
D. Hiệu suất CPU của server

Câu 47. Trong IIS Access Log, trường sc-status có nghĩa là gì?

A. Server certificate
B. HTTP Status Code
C. Secure connection
D. Session count

Câu 48. Syslog-ng cải tiến gì so với syslog gốc?

A. Dùng UDP thay vì TCP
B. Sử dụng TCP và content-based filtering
C. Không hỗ trợ mã hoá
D. Chỉ hỗ trợ Windows

Câu 49. Nhãn thời gian (timestamp) trong log quan trọng như thế nào?

A. Chỉ để hiển thị, không có giá trị phân tích
B. Rất quan trọng trong việc phát hiện tấn công và liên kết các sự kiện mạng đã được ghi log
C. Chỉ dùng để tính dung lượng log
D. Không liên quan đến bảo mật

Câu 50. Đâu là mô tả đúng về SIEM?

A. SIEM là một thiết bị phần cứng duy nhất
B. SIEM chỉ thu thập log từ firewall
C. SIEM kết hợp SEM và SIM để cung cấp cái nhìn toàn diện về mạng, hỗ trợ báo cáo thời gian thực và phân tích dài hạn
D. SIEM thay thế hoàn toàn cho SOC

Câu 51. Trong Syslog Facility, giá trị 4 tương ứng với nguồn nào?

A. kern
B. mail
C. auth
D. daemon

Câu 52. Kẻ tấn công có thể dùng phương pháp nào để xác định những IP/port nào được phép bởi ACL?

A. Chỉ có thể đoán ngẫu nhiên
B. Port scanning, penetration testing, hoặc do thám mạng
C. Tấn công brute-force vào syslog
D. Phân tích log DNS

Câu 53. 3 dạng ứng dụng Peer-to-Peer là gì?

A. Web, Email, FTP
B. Chia sẻ file, chia sẻ processor, IM (tin nhắn)
C. HTTP, HTTPS, FTP
D. DNS, NTP, SMTP

Câu 54. Trong Apache Access Log, trường số 6 cho biết thông tin gì?

A. Kích thước response
B. HTTP Status Code
C. User Agent
D. Referrer

Câu 55. rsyslog được tạo bởi ai và năm nào?

A. Eric Allman, 1980
B. Balázs Scheidler, 1998
C. Rainer Gerhards, 2004
D. Linus Torvalds, 1991

Câu 56. Syslog gốc được tạo bởi ai và năm nào?

A. Balázs Scheidler, 1998
B. Rainer Gerhards, 2004
C. Eric Allman, 1980
D. Dennis Ritchie, 1972

Câu 57. Trong chuỗi HTTPS Transaction, bước nào xảy ra ĐẦU TIÊN?

A. Client tạo Symmetric Key
B. Server gửi Public Key kèm Certificate
C. Client browser request trang bảo mật với https://
D. Server giải mã Symmetric Key

Câu 58. Giám sát an ninh email có thể làm gì?

A. Chặn toàn bộ email đến
B. Nhận dạng malware dưới dạng file đính kèm và xác định host nào bị ảnh hưởng đầu tiên
C. Mã hoá email tự động
D. Chuyển tiếp email đến SOC

Câu 59. Malware sử dụng DNS để làm gì với server CnC?

A. Tải malware về từ CnC
B. Giao tiếp với CnC và đánh cắp dữ liệu ngụy trang dưới dạng truy vấn DNS thông thường
C. Tấn công DDoS vào CnC
D. Cập nhật virus definition từ CnC

Câu 60. ICMP có thể được dùng để làm gì NGOÀI việc kiểm tra kết nối?

A. Chỉ dùng để ping
B. Xác định host trong mạng, kiến trúc mạng, OS, thực hiện DoS, và đánh cắp dữ liệu (ICMP Tunneling)
C. Mã hoá traffic
D. Cân bằng tải