Mục tiêu: Làm quen với SIEM (Security Information and Event Management) – ‘trái tim’ của SOC.
Công cụ cần dùng:
Elastic Stack (ELK): Elasticsearch, Logstash, Kibana (miễn phí).
Một máy ảo Ubuntu hoặc máy tính đủ mạnh (ít nhất 4GB RAM).
Các bước thực hiện:
- Tải và cài ELK Stack trên máy ảo (tìm hướng dẫn trên trang elastic.co).
- Cấu hình Logstash để thu thập log từ máy ảo (dùng log hệ thống như /var/log/syslog).
- Dùng Kibana để tạo dashboard:
- Tạo biểu đồ số lần đăng nhập thất bại.
- Tìm kiếm các từ khóa như “error” hoặc “failed”.
- Giả lập một “tấn công” đơn giản: thử đăng nhập sai mật khẩu 10 lần, rồi xem Kibana có hiển thị gì không.
- Ghi lại kết quả: Em có nhận diện được “tấn công” không?
Kết quả mong đợi:
Các em sẽ biết cách dùng SIEM để thu thập, trực quan hóa log và phát hiện sự kiện bất thường.
Mẹo từ anh:
Nếu cài ELK phức tạp quá, thử Wazuh (một SIEM miễn phí khác, dễ cài hơn).
