Project 1: Xây dựng hệ thống giám sát log cơ bản (Cấp độ: Cơ bản)
Mục tiêu:
Hiểu cách thu thập và phân tích log – bước đầu tiên trong SOC.
Công cụ cần dùng:
- VirtualBox hoặc VMware (máy ảo).
- Hệ điều hành Ubuntu hoặc Windows.
- Syslog hoặc Event Viewer (có sẵn trong hệ điều hành).
- Notepad++ hoặc bất kỳ text editor nào.
Các bước thực hiện:
- Cài một máy ảo (Ubuntu hoặc Windows) để giả lập một hệ thống cần giám sát.
- Tạo một số hoạt động giả lập: đăng nhập thất bại, truy cập file, chạy lệnh lạ (ví dụ whoami trên Windows hoặc sudo trên Linux).
- Thu thập log:
- Trên Windows: Mở Event Viewer, xem mục Security.
- Trên Linux: Xem file /var/log/auth.log hoặc /var/log/syslog.
- Ghi chú lại những gì đã thấy: Có bao nhiêu lần đăng nhập thất bại? Có hành vi nào bất thường không?
- Viết một báo cáo ngắn (dùng Word hoặc Google Docs) tóm tắt những gì tìm được.
Kết quả mong đợi:
Sẽ hiểu log là gì, đọc log cơ bản, và nhận diện được sự kiện đáng ngờ.
Mẹo từ:
Dùng lệnh grep trên Linux (như grep “failed” /var/log/auth.log) để lọc nhanh thông tin.
