Chào cả nhà! Lần trước mình kể về sự khác nhau giữa SOC 1.0, 2.0, 3.0, hôm nay mình sẽ đi sâu vào chi tiết cách thực hành SOC 1.0 – kiểu “cày tay” mà ngày xưa từng làm. Đây là nền tảng cơ bản nhất của bảo mật, phù hợp cho ai mới bắt đầu hoặc công ty nhỏ muốn tự xây SOC. Cùng bắt tay vào nhé!
Bước 1: Xác định phạm vi và mục tiêu
• Việc cần làm: Ngồi xuống với đội ngũ (hoặc tự mình) để trả lời: “Mình cần bảo vệ cái gì?” Đó có thể là server, mạng nội bộ, website công ty, hay dữ liệu khách hàng.
• Thực hành: Lập danh sách tài sản quan trọng (ví dụ: 1 server chạy web, 2 máy chủ database, 10 máy trạm nhân viên). Đánh giá xem cái nào dễ bị tấn công nhất (như server public hay máy nhân viên hay tải linh tinh).
• Mục tiêu: Biết rõ mình cần theo dõi gì để không bị ngập trong dữ liệu thừa.
Bước 2: Cài đặt công cụ cơ bản
SOC 1.0 không có SIEM xịn như sau này, nên ta dùng những thứ đơn giản:
• Công cụ:
• IDS/IPS: Dùng Snort (miễn phí, open-source) để phát hiện xâm nhập. Cài lên một máy Linux, cấu hình để nó “ngửi” lưu lượng mạng.
• Firewall: Dùng pfSense hoặc tường lửa mặc định của router để chặn truy cập lạ.
• Log tập trung: Nếu không có tiền mua tool xịn, dùng Syslog trên Linux để gom log từ các máy về một chỗ.
• Thực hành:
1. Cài Snort: Tải từ snort.org, chạy lệnh sudo apt-get install snort (trên Ubuntu/Debian), rồi cấu hình rule cơ bản như phát hiện ping flood.
2. Chỉnh firewall: Chặn port không cần thiết (ví dụ: port 23 - Telnet), chỉ mở port 80, 443 cho web.
3. Gom log: Trên mỗi máy, bật Syslog và trỏ về một server trung tâm (dùng lệnh logger để test gửi log).
Bước 3: Thiết lập quy trình giám sát
• Việc cần làm: Phân công người trực và định nghĩa rõ việc phải làm.
• Thực hành:
1. Kiểm tra log hàng ngày: Mở file log (thường ở /var/log) trên server trung tâm, dùng lệnh tail -f để xem real-time hoặc grep "error" * để tìm lỗi.
2. Xem alert từ IDS: Snort sẽ tạo file cảnh báo (thường ở /var/log/snort/alert), đọc xem có gì bất thường (như IP lạ quét port).
3. Ghi chép: Dùng Excel hoặc sổ tay ghi lại mỗi sự kiện (ví dụ: “10h30, IP 192.168.1.100 quét port 22, đã chặn”).
• Mẹo: Chia ca trực (sáng, chiều, tối) nếu có team, tránh mệt mỏi.
Bước 4: Phát hiện và phản ứng thủ công
• Phát hiện: Khi thấy alert từ Snort hoặc log có dấu hiệu lạ (như nhiều lỗi đăng nhập SSH - failed password), bắt đầu điều tra.
• Thực hành:
1. Kiểm tra nguồn: Dùng whois IP (trên terminal hoặc web whois.net) để xem IP tấn công từ đâu.
2. Phân tích: So sánh thời gian log với hoạt động bình thường (như giờ nhân viên làm việc) để đoán là tấn công hay lỗi người dùng.
3. Phản ứng: Nếu xác định tấn công (ví dụ: brute force SSH), chặn IP bằng firewall (lệnh pfSense: pfctl -t blacklist -T add 192.168.1.100).
• Ví dụ thực tế: Mình từng thấy log SSH báo 100 lần đăng nhập sai từ IP TQ trong 5 phút, chặn ngay và cài thêm rule Snort để báo nếu lặp lại.
Bước 5: Báo cáo và cải thiện
• Việc cần làm: Tổng hợp kết quả mỗi ngày/tuần để rút kinh nghiệm.
• Thực hành:
1. Viết báo cáo ngắn: “Ngày 26/2/2025, phát hiện 5 lần quét port, chặn 2 IP, hệ thống ổn định.”
2. Cải thiện rule: Nếu thấy Snort báo nhiều false positive (như nhầm hoạt động VPN thành tấn công), chỉnh lại rule trong file snort.conf.
• Mẹo: Dành 1 tiếng cuối tuần để xem lại toàn bộ log, tìm xu hướng tấn công.
Lưu ý khi thực hành SOC 1.0
• Ưu điểm: Đơn giản, rẻ, học được cách “cảm” hệ thống bằng tay.
• Nhược điểm: Mất thời gian, dễ bỏ sót, không xử lý được tấn công lớn/nhanh.
• Kinh nghiệm xương máu: Đừng cố ôm hết, tập trung vào tài sản quan trọng nhất trước.
Câu hỏi cho cả nhà:
• Ai từng thử Snort hay pfSense chưa? Có khó cài không?
• Nếu làm SOC 1.0, bạn sẽ ưu tiên bảo vệ cái gì đầu tiên?
Thử làm đi, có gì thắc mắc cứ comment, mình hỗ trợ hết! SOC 1.0 tuy “cổ” nhưng là nền tảng để hiểu sâu về bảo mật đấy.
Hướng dẫn này chi tiết, thực tế và có thể áp dụng ngay với các công cụ miễn phí. Bạn có thể dùng nó để đăng Facebook hoặc chỉnh sửa thêm tùy ý!
