Triển Khai Honeypot SOC với Microsoft Sentinel trên Azure
Giới thiệu
Trong bài viết này, chúng ta sẽ tìm hiểu cách thiết lập một Trung tâm Hoạt động Bảo mật (SOC) cơ bản sử dụng Azure. Chúng ta sẽ triển khai một máy ảo honeypot và chuyển tiếp các bản ghi được tạo ra đến kho lưu trữ trung tâm. Sau đó, chúng ta sẽ tích hợp Microsoft Sentinel để phân tích dữ liệu tấn công. Mục tiêu của bài hướng dẫn là cung cấp cho bạn cái nhìn tổng quan và chi tiết về quy trình này.
Yêu cầu trước khi bắt đầu
- Tài khoản đăng ký Azure miễn phí.
Tạo Nhóm Tài Nguyên và Mạng Ảo
Bước 1: Tạo Nhóm Tài Nguyên
- Đầu tiên, chúng ta sẽ tạo một Nhóm Tài Nguyên mới với tên là my-first-rsg trong khu vực Trung Ấn Độ. Bạn có thể để nguyên các cấu hình mặc định trong quá trình tạo nhóm tài nguyên.
Bước 2: Tạo Mạng Ảo
- Tiếp theo, tạo một Mạng Ảo (VNet) với tên my-first-vnet dưới Nhóm Tài Nguyên đã tạo ở bước 1. Hãy chắc chắn rằng nó cũng nằm trong cùng khu vực Trung Ấn Độ và giữ nguyên các cài đặt mặc định.
Tạo Máy Ảo
Bước 3: Tạo Máy Ảo
- Như hình minh họa, chúng ta sẽ tạo một máy ảo có tên là DataAnalysis-Server chạy hệ điều hành Windows Server 2019 Datacenter. Chọn kích thước là Standard B2S cho dự án này.
- Sau khi hoàn tất cấu hình, bạn có thể triển khai máy ảo mới này.
Bước 4: Cấu hình Nhóm Bảo mật Mạng
- Từ Nhóm Tài Nguyên, chúng ta sẽ điều chỉnh Nhóm Bảo mật Mạng. Xóa quy tắc mặc định cho Remote Desktop Protocol (RDP) và tạo một quy tắc mới mở tất cả các cổng từ bất kỳ nguồn nào. Đặt tên cho quy tắc này là DangerAllPortsAllowed.
Bước 5: Đăng Nhập vào Máy Ảo
- Sử dụng Remote Desktop Protocol (RDP), nhập địa chỉ IP, tên người dùng và mật khẩu để đăng nhập vào máy ảo vừa tạo.
Bước 6: Tắt Tường Lửa Windows
- Trong máy ảo, mở Windows Firewall và tắt tất cả các thuộc tính Firewall của Windows Defender.
Bước 7: Kiểm Tra Kết Nối
- Bạn có thể xác nhận máy ảo có thể truy cập được bằng cách ping từ máy cục bộ.
Tạo Workspace Log Analytics
- Tiếp theo, chúng ta sẽ tạo một Workspace Log Analytics để thu thập các bản ghi từ máy ảo.
Tích Hợp Microsoft Sentinel
Bước 8: Tạo Microsoft Sentinel
- Tạo một Microsoft Sentinel và thêm Workspace Log Analytics mà chúng ta vừa tạo. Trên trang Microsoft Sentinel, dưới quản lý nội dung trong hub nội dung, tìm và cài đặt công cụ Windows Security Events.
Bước 9: Cấu hình Windows Security Events
- Công cụ này sẽ cho phép chúng ta kết nối Workspace Log Analytics với máy ảo vừa tạo. Cấu hình Windows Security Events thông qua Azure Monitoring Agent (AMA).
Bước 10: Tạo Quy Tắc Thu Thập Dữ Liệu
- Tạo một quy tắc thu thập dữ liệu mà máy ảo sẽ sử dụng để chuyển tiếp các bản ghi vào Workspace Log Analytics, giúp bạn dễ dàng truy cập chúng trong SIEM. Sau khi hoàn tất, bạn có thể quay lại cửa sổ Azure VM và kiểm tra trong phần Cài đặt: Tiện ích mở rộng + ứng dụng, bạn nên thấy AMA đã được cài đặt.
Truy Vấn Dữ Liệu
- Sau khi cấu hình hoàn tất, bạn có thể sử dụng KQL để truy vấn các bản ghi. Kiểm tra lại sau hai giờ, bạn có thể thấy hàng nghìn lần cố gắng đăng nhập vào máy ảo.
- Hãy thử truy vấn trong vòng một phút để xem có bao nhiêu cuộc tấn công được ghi nhận trong phút đó.
Tạo Danh Sách Theo Dõi
- Bạn có thể tạo một danh sách theo dõi trong cổng thông tin Microsoft Defender và tải lên bảng tính địa chỉ IP đã được ánh xạ địa lý: geoip-summarized.csv. Sau khi tải lên, tài liệu sẽ hiển thị như hình dưới đây.
Phân Tích Dữ Liệu
- Sử dụng một truy vấn KQL đơn giản, bạn có thể làm nổi bật một kẻ tấn công cụ thể từ Hà Lan đã cố gắng đăng nhập vào máy tính hơn 900 lần.
- Chúng ta sẽ tạo một workbook trong Microsoft Sentinel để vẽ biểu đồ tấn công dưới dạng biểu đồ cột. Sử dụng truy vấn JSON như hình minh họa bên dưới.
Hình Ảnh Biểu Đồ
- Bạn có thể trực quan hóa dữ liệu dưới dạng biểu đồ cột bằng các workbook.
Thực Hành Tốt Nhất
- Luôn cập nhật các bản bảo mật ngay khi có sẵn. Chỉ mở các cổng cần thiết trong thời gian cần thiết.
Cạm Bẫy Thường Gặp
- Không nên để tất cả các cổng mở. Điều này có thể dẫn đến việc máy ảo dễ bị tấn công.
Mẹo Tối Ưu Hiệu Suất
- Theo dõi thường xuyên các bản ghi để phát hiện sớm các hoạt động bất thường. Sử dụng các quy tắc tự động để cảnh báo khi có hành vi đáng ngờ.
Kết luận
Việc triển khai một SOC với Microsoft Sentinel và honeypot trên Azure không chỉ giúp tăng cường bảo mật mà còn nâng cao khả năng phát hiện và phản ứng với các mối đe dọa an ninh mạng. Hãy bắt đầu triển khai và tự bảo vệ hệ thống của bạn ngay hôm nay!
Câu hỏi thường gặp (FAQ)
- Honeypot là gì?
Honeypot là một hệ thống giả lập được thiết kế để thu hút kẻ tấn công nhằm ghi lại các hành vi của chúng. - Microsoft Sentinel có những tính năng gì?
Microsoft Sentinel cung cấp khả năng phát hiện, điều tra và ứng phó với các mối đe dọa an ninh.
