# Threat Hunting and IR with XDR/EDR

## 1. **Phương pháp thực hiện Threat Hunting**

<table data-header-hidden><thead><tr><th width="196.39996337890625"></th><th></th></tr></thead><tbody><tr><td><strong>Phương pháp</strong></td><td><strong>Mô tả</strong></td></tr><tr><td><strong>1. Săn lùng dựa trên giả thuyết</strong></td><td>Chuyên gia bảo mật đưa ra giả thuyết về một mối đe dọa cụ thể (ví dụ: nghi ngờ có malware A trong hệ thống) và tiến hành điều tra sâu vào giả thuyết đó.</td></tr><tr><td><strong>2. Phân tích và học máy</strong></td><td>Xây dựng mô hình hành vi chuẩn của mạng và người dùng. Săn lùng các sai lệch (anomaly) so với chuẩn để phát hiện hành vi bất thường có thể là mối đe dọa.</td></tr><tr><td><strong>3. Săn lùng dựa trên chữ ký (Signature)</strong></td><td>Dựa vào các dấu hiệu định danh (signature) của malware hoặc hành vi độc hại đã biết để phát hiện mối đe dọa.</td></tr><tr><td><strong>4. Săn lùng theo TTP (Tactics, Techniques, Procedures)</strong></td><td>Sử dụng thông tin tình báo mối đe dọa (CTI) để phân tích chiến thuật, kỹ thuật và quy trình của attacker. Dựa vào đó để phát hiện dấu hiệu hiện diện trong hệ thống.</td></tr><tr><td><strong>5. Tự động hóa và phân loại ban đầu (Automation &#x26; Triage)</strong></td><td>Sử dụng các công cụ được cấu hình tự động để phân tích và đánh giá ban đầu các sự kiện nghi ngờ.</td></tr></tbody></table>

## 2. Threat Hunting Techniques with EDR/XDR

Dù các công cụ **EDR (Endpoint Detection and Response)** và **XDR (Extended Detection and Response)** là những nguồn lực quan trọng nhất trong quá trình threat hunting, nhưng **chúng không đủ** để hoàn thành toàn bộ nhiệm vụ nếu thiếu các công cụ bổ trợ khác. Các công nghệ hỗ trợ cần thiết bao gồm:

* **SIEM** (Security Information and Event Management)
* **CTI** (Cyber Threat Intelligence)
* **NIDS/NDR** (Phát hiện mối đe dọa dựa trên mạng)
* **Sandbox**

### **Các kỹ thuật Threat Hunting sử dụng EDR/XDR**

EDR/XDR cung cấp khả năng quan sát sâu rộng đến cấp độ thiết bị đầu cuối và mạng, từ đó hỗ trợ các hoạt động săn lùng mối đe dọa một cách hiệu quả. Dưới đây là các kỹ thuật phổ biến:

#### **1. Săn lùng dựa trên chỉ số (Indicator-based Hunting)**

Phát hiện mối đe dọa tiềm tàng thông qua các **dấu hiệu đã biết** từ trước như: IP độc hại, hash của malware, tên domain, URL độc hại...

Ví dụ: Báo cáo CTI cho biết một botnet được điều khiển qua IP `192.168.1.100`. Hunter sẽ tìm trong nhật ký lưu lượng mạng nội bộ xem có hoạt động kết nối đến IP này không.

#### **2. Săn lùng dựa trên hành vi (Behavioral-based Hunting)**

Không dựa vào chỉ số tĩnh mà theo dõi các **hành vi bất thường** của người dùng, thiết bị, hoặc ứng dụng.

Ví dụ: Một người dùng thông thường (không phải admin) lại thực thi PowerShell với quyền cao, điều này có thể là dấu hiệu ban đầu của một cuộc tấn công.

#### **3. Săn lùng theo Heuristics (Heuristic Hunting)**

Phát hiện các mối đe dọa **mới hoặc chưa biết**, thông qua các quy luật và hành vi tổng quát (heuristic rules).

Ví dụ: Một thiết bị trong mạng nội bộ thực hiện **quét cổng hàng loạt**, điều này có thể chỉ ra hoạt động của malware hoặc adversary đang trinh sát mạng.

### Threat Hunting với SentinelOne

SentinelOne là nền tảng XDR hiện đại có khả năng thu thập dữ liệu chi tiết và phục vụ hiệu quả cho hoạt động threat hunting.

**Các tính năng chính:**

<table data-header-hidden><thead><tr><th width="237.20001220703125"></th><th></th></tr></thead><tbody><tr><td><strong>Tính năng</strong></td><td><strong>Mô tả</strong></td></tr><tr><td><strong>Deep Visibility</strong></td><td>Cho phép truy vấn tất cả hoạt động liên quan đến IP, domain, URL, hash…</td></tr><tr><td><strong>Giao diện Hunting</strong></td><td>Nằm trong phần “Visibility” → tab “Hunting”. Có thể mở nhiều tab để truy vấn song song.</td></tr><tr><td><strong>Thời gian lưu dữ liệu</strong></td><td>Mặc định là 14 ngày</td></tr><tr><td><strong>Tự động gợi ý truy vấn</strong></td><td>Truy vấn có autocomplete giúp nhanh chóng tìm field và giá trị</td></tr><tr><td><strong>Truy cập query mẫu</strong></td><td>Có thể chọn các truy vấn cơ bản hoặc nâng cao có sẵn</td></tr></tbody></table>

<figure><img src="/files/hEptVuPaRMSw8BQAI4ck" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/KN3mcNXFornhiO4jcJ38" alt=""><figcaption></figcaption></figure>

**Danh mục dữ liệu truy vấn trong SentinelOne**

| **Tab dữ liệu chính**                |
| ------------------------------------ |
| Processes (tiến trình)               |
| Cross Process (giao tiếp tiến trình) |
| Indicators (dấu hiệu tấn công)       |
| Files                                |
| Network Actions (hành động mạng)     |
| DNS, URL                             |
| Registry                             |
| Scheduled Tasks                      |
| Logins                               |
| Driver Load                          |
| Command Scripts                      |

<figure><img src="/files/ltryYgsqnR7hadXSDZg9" alt=""><figcaption></figcaption></figure>

**Ví dụ thực tế từ SentinelOne**

**Trường hợp 1:**\
Indicator cho thấy `cmd.exe` do user `admin` chạy, nhưng được mở từ một **shortcut**, không phải trực tiếp → dấu hiệu nghi ngờ liên quan đến kỹ thuật **MITRE T1204 (User Execution)**.

<figure><img src="/files/uPLukdza8mefGLjsoIrm" alt=""><figcaption></figcaption></figure>

**Trường hợp 2:**\
File `C:\python27\excel.exe` được thực thi – tuy có tên giống ứng dụng Office nhưng không phải bản gốc → kỹ thuật giả mạo file tên hợp pháp để đánh lừa người dùng hoặc bypass kiểm tra.

<figure><img src="/files/kG6wPzbyJ6q769Ir1UuY" alt=""><figcaption></figcaption></figure>

## 3. **Phản Ứng Sự Cố với EDR/XDR (Incident Response)**

Quản lý sự cố là một quy trình giúp phát hiện, điều tra, ứng phó và khắc phục **các cuộc tấn công mạng** hoặc các **sự cố an ninh khác**. Mục tiêu là **duy trì tư thế an ninh mạng** của tổ chức và **giảm thiểu tác động** từ sự cố.

### **Các giai đoạn của quy trình quản lý sự cố**

1. **Phát hiện sự cố (Incident Detection)**\
   Nhóm phản ứng sự cố sử dụng nhiều công cụ để phát hiện mối đe dọa tiềm tàng:
   * Firewall
   * Hệ thống phát hiện xâm nhập (IDS/NIDS)
   * Công cụ bảo vệ đầu cuối
   * Công nghệ **EDR/XDR**
2. **Điều tra sự cố (Incident Investigation)**\
   Dùng các công cụ như:
   * Nền tảng quản lý sự cố (SIEM, SOAR)
   * Công cụ phân tích an ninh
   * Nguồn thông tin tình báo mối đe dọa (CTI)
3. **Ứng phó sự cố (Incident Response)**\
   Khi đã phát hiện và điều tra, nhóm sẽ phản ứng:
   * Cách ly hệ thống bị ảnh hưởng
   * Ngăn chặn lan truyền mã độc
   * Dùng firewall/ngắt mạng nội bộ
   * Gỡ bỏ file độc hại
4. **Khắc phục và phục hồi (Incident Remediation)**\
   Xác định **nguyên nhân gốc rễ**, thực hiện:
   * Vá lỗi hệ thống
   * Tăng cường chính sách bảo mật
   * Đào tạo lại nhân sự
   * Rút kinh nghiệm và lập kế hoạch phòng chống tái diễn

<figure><img src="/files/EWrtUUknJfyDLuF8EAHL" alt=""><figcaption></figcaption></figure>

### **Vai trò của EDR/XDR trong Quản lý Sự cố**

EDR/XDR là các công nghệ **then chốt giúp tăng hiệu quả** trong các bước phản ứng sự cố.

### **Mối liên hệ giữa EDR/XDR và Phản ứng Sự cố**

<table data-header-hidden><thead><tr><th width="283.60003662109375"></th><th></th></tr></thead><tbody><tr><td><strong>Chức năng</strong></td><td><strong>Vai trò của EDR/XDR</strong></td></tr><tr><td><strong>1. Phát hiện sớm mối đe dọa</strong></td><td>Giám sát liên tục thiết bị, mạng và cloud để phát hiện hành vi bất thường, malware, C2, v.v.</td></tr><tr><td><strong>2. Ứng phó nhanh chóng</strong></td><td>Cách ly thiết bị, khóa process, cách ly mạng hoặc xóa file độc hại ngay lập tức bằng automation</td></tr><tr><td><strong>3. Phân tích và chuẩn đoán chi tiết</strong></td><td>Theo dõi chuỗi hành động tấn công: ai, cái gì, khi nào, ở đâu, như thế nào</td></tr><tr><td><strong>4. Xác định chuỗi tấn công</strong></td><td>Phân tích từng bước trong kill chain giúp tái dựng timeline và phương pháp tấn công</td></tr><tr><td><strong>5. Tăng khả năng quan sát (visibility)</strong></td><td>EDR: endpoint → XDR: kết hợp cả mạng, email, cloud → tầm nhìn toàn diện</td></tr><tr><td><strong>6. Tự động hóa và hiệu suất cao</strong></td><td>Giảm thao tác thủ công, rút ngắn thời gian phản ứng, giảm lỗi con người</td></tr><tr><td><strong>7. Thu thập &#x26; lưu trữ dữ liệu</strong></td><td>Lưu lại toàn bộ hành vi trong thời gian thực, phục vụ phân tích forensics sau này</td></tr><tr><td><strong>8. Học hỏi và cải tiến liên tục</strong></td><td>Phân tích tấn công thực tế để rút kinh nghiệm, cải thiện chính sách bảo vệ</td></tr><tr><td><strong>9. Tích hợp nhiều nguồn dữ liệu</strong></td><td>XDR lấy thông tin từ: EDR, SIEM, NDR, email, cloud… giúp hình thành bức tranh toàn cảnh</td></tr><tr><td><strong>10. Quyết định dựa trên dữ liệu</strong></td><td>Phân tích bằng dữ liệu thực tế giúp đề xuất chiến lược phản ứng chính xác hơn</td></tr></tbody></table>

### **Tóm tắt**

Công nghệ **EDR/XDR**:

* Là **xương sống** trong quy trình **phản ứng sự cố hiện đại**
* Cho phép **phát hiện sớm**, **ứng phó nhanh**, **phân tích kỹ**, và **học hỏi liên tục**
* Giúp các tổ chức **tăng khả năng chống chịu trước tấn công mạng**, **giảm thiểu thiệt hại**, và **sẵn sàng ứng phó các mối đe dọa trong tương lai**

## 3. Importance of EDR Data for Threat Hunting

Trong lĩnh vực an ninh mạng, **dữ liệu chính xác và toàn diện** là yếu tố cốt lõi để **phát hiện, giám sát và ngăn chặn các mối đe dọa**. Các công cụ EDR (Endpoint Detection and Response) cung cấp cho đội ngũ bảo mật nguồn dữ liệu quan trọng này bằng cách **giám sát và phân tích chi tiết hoạt động trên các endpoint**.

EDR không chỉ giúp phát hiện mối đe dọa tiềm tàng mà còn giúp ta hiểu **cách cuộc tấn công xảy ra và hệ thống nào bị ảnh hưởng**. Dữ liệu toàn diện mà EDR cung cấp giúp quá trình threat hunting **hiệu quả hơn**, từ đó **phản ứng nhanh hơn và chính xác hơn** trước các sự cố an ninh mạng.

### **1. Thu thập dữ liệu (Data Collection)**

* **Nguồn dữ liệu đa dạng**: EDR thu thập dữ liệu từ nhiều thành phần như:
  * Nhật ký (logs)
  * Hoạt động tệp (file activity)
  * Kết nối mạng
  * Sự kiện hệ thống
  * Hành vi người dùng
* **Giám sát theo thời gian thực**:\
  Cho phép phát hiện **ngay lập tức các sự kiện** xảy ra trên endpoint để nhanh chóng nhận diện các mối đe dọa tiềm ẩn.

### **2. Làm giàu dữ liệu (Data Enrichment)**

* **Bổ sung thông tin**:\
  Dữ liệu được tăng cường với thông tin tình báo mối đe dọa (CTI), thông tin người dùng, và ngữ cảnh hệ thống.
* **Tương quan dữ liệu (correlation)**:\
  EDR tạo liên kết giữa các điểm dữ liệu khác nhau để tạo ra bức tranh tổng thể, từ đó dễ dàng nhận diện mối đe dọa hơn.

### **3. Phân tích dữ liệu (Data Analysis)**

**Phân tích dữ liệu lớn (Big Data Analytics)**

* **Lưu trữ tập trung**:\
  Thu thập và lưu trữ khối lượng lớn dữ liệu từ nhiều endpoint.
* **Phân tích nhanh chóng**:\
  Sử dụng các kỹ thuật phân tích big data giúp **phát hiện mối đe dọa một cách nhanh và chính xác**.
* **Nhận diện mẫu (pattern recognition)**:\
  Ứng dụng các thuật toán học máy để phát hiện **hành vi bất thường** trong dữ liệu.

**Trí tuệ nhân tạo & Máy học (AI/ML)**

* **Mô hình hành vi**:\
  Học máy xây dựng mô hình hành vi người dùng/hệ thống để phân biệt hoạt động bình thường và bất thường.
* **Dự đoán mối đe dọa**:\
  Trí tuệ nhân tạo dự đoán mối đe dọa dựa trên dữ liệu quá khứ.
* **Phát hiện bất thường (anomaly detection)**:\
  Nhận diện những lệch chuẩn để phát hiện sớm các dấu hiệu tấn công.

### **4. Trực quan hóa dữ liệu (Visualization)**

* **Biểu đồ & bảng số liệu**:\
  Biến dữ liệu phức tạp thành trực quan dễ hiểu để giúp đội ngũ bảo mật phân tích nhanh hơn.
* **Bản đồ mối quan hệ**:\
  Hiển thị tương tác giữa các sự kiện để hiểu cách mối đe dọa lan rộng.
* **Bản đồ nhiệt (Heatmaps)**:\
  Thể hiện mức độ dày đặc của các loại sự kiện, hỗ trợ điều tra và phân tích chiến thuật.
* **Timeline sự kiện**:\
  Hiển thị chuỗi thời gian diễn ra các sự kiện an ninh giúp truy vết mối đe dọa dễ dàng hơn.

### **5. Sử dụng IOC và IOA trong Threat Hunting**

<figure><img src="/files/YUx4L99qXrwophTMQjW1" alt=""><figcaption></figcaption></figure>

**IOC (Indicator of Compromise – Chỉ báo xâm nhập)**

* **Định nghĩa**: Dấu hiệu cụ thể của việc hệ thống đã bị tấn công/xâm nhập.
* **Ví dụ**: Hash file độc hại, IP đáng ngờ, domain lạ, đường dẫn bất thường.

**Quy trình sử dụng IOC:**

* **Thu thập dữ liệu**: EDR liên tục ghi nhận hoạt động từ endpoint và mạng.
* **So sánh với IOC đã biết**: Phát hiện hành vi trùng khớp với IOC sẽ kích hoạt cảnh báo.
* **Phân tích chuyên sâu**: Giúp xác định nguồn gốc và phương pháp lan truyền của mối đe dọa.

**IOA (Indicator of Attack – Chỉ báo tấn công)**

* **Định nghĩa**: Chỉ ra **ý định hoặc phương pháp tấn công**, tập trung vào **hành vi** hơn là kết quả.
* **Ví dụ**:
  * Cố gắng xóa file log
  * Truy cập trái phép
  * Sử dụng tài khoản bị chiếm quyền
  * Thay đổi cấu hình hệ thống

**Quy trình sử dụng IOA:**

* **Phân tích hành vi**: Giám sát liên tục các hoạt động để nhận diện hành vi bất thường.
* **Phát hiện bất thường**: Dựa trên AI/ML để phát hiện sớm dấu hiệu tấn công.
* **So sánh với IOA đã biết**: Tăng khả năng phát hiện cả những cuộc tấn công mới hoặc chưa có signature.

## 4. **Chức năng cốt lõi của EDR trong hoạt động Threat Hunting**

Trong quá trình threat hunting, **giải pháp EDR (Endpoint Detection and Response)** đóng vai trò quan trọng trong việc **phát hiện, điều tra, ứng phó và khôi phục sau các mối đe dọa**. EDR giúp đội ngũ an ninh **phát hiện và phản ứng nhanh chóng, hiệu quả** với các hành vi bất thường hoặc cuộc tấn công đang diễn ra. Với khả năng **thu thập dữ liệu toàn diện, làm giàu dữ liệu, phân tích và trực quan hóa**, EDR giúp quy trình threat hunting trở nên hiệu quả hơn.

### **1. Phát hiện mối đe dọa (Threat Detection)**

**Phát hiện bất thường và hành vi (Anomaly & Behavioral Detection)**

* EDR liên tục giám sát hành vi trên các endpoint để phát hiện **sự lệch chuẩn** so với hành vi bình thường.
* Ví dụ: người dùng đăng nhập vào thời điểm bất thường, thay đổi file lạ, ứng dụng mới đột ngột được khởi chạy.

🔍 EDR sử dụng **thuật toán phát hiện bất thường** để tìm ra các hoạt động đáng ngờ – đây có thể là dấu hiệu của một mối đe dọa tiềm ẩn và cần điều tra thêm.

**Tích hợp nguồn tình báo mối đe dọa (Threat Intelligence Integration)**

* Kết nối đến các cơ sở dữ liệu về **malware, IP độc hại, IOC...** để phát hiện nhanh các mối đe dọa đã biết.
* Nhờ **giám sát thời gian thực**, EDR giúp phát hiện và can thiệp sớm khi tấn công mới bắt đầu.

### **2. Điều tra sự cố (Investigation)**

**Tương quan sự kiện và phân tích (Event Correlation & Analysis)**

* **Tương quan dữ liệu đa nguồn**: từ logs, file, network, hành vi người dùng để xác định **hệ thống bị ảnh hưởng và cách tấn công xảy ra**.
* **Phân tích forensics**: EDR thu thập và phân tích dữ liệu chi tiết hậu sự cố để xác định:
  * Nguồn gốc tấn công
  * Kỹ thuật được sử dụng
  * Dấu vết kẻ tấn công để lại

**Công cụ điều tra chuyên sâu**

* **Tạo timeline**: EDR dựng lại **dòng thời gian các sự kiện**, giúp tái hiện các giai đoạn của cuộc tấn công.
* **Phân tích file và memory**: giúp truy vết mã độc và xác định mối đe dọa ẩn trong bộ nhớ hệ thống.

### **3. Phản ứng sự cố (Response)**

**Ứng phó và cách ly hệ thống (Incident Response & Isolation)**

* **Cách ly thiết bị**: EDR có thể tự động **ngắt kết nối endpoint ra khỏi mạng**, ngăn chặn sự lây lan.
* **Phản ứng nhanh**: EDR dùng **cơ chế tự động** để:
  * Dừng tiến trình độc hại
  * Chặn kết nối bất thường
  * Cô lập vùng ảnh hưởng

**Cách ly và khắc phục (Quarantine & Remediation)**

* **Quarantine**: Cô lập file/process nghi ngờ để ngăn lan truyền.
* **Khuyến nghị khắc phục**: Đề xuất và thực hiện hành động trung hòa mối đe dọa (xóa, rollback, khôi phục, vá lỗi...).

### **4. Khôi phục hệ thống (Recovery)**

**Khôi phục hệ thống và dữ liệu (System & Data Recovery)**

* **Backup và khôi phục**: Đảm bảo hệ thống và dữ liệu được khôi phục từ **bản sao an toàn**, duy trì hoạt động kinh doanh.
* **Vá lỗi và cập nhật**: EDR giúp xác định lỗ hổng bị khai thác và đảm bảo các bản vá được triển khai để tránh tái diễn.

## 5. **Di chuyển ngang (Lateral Movement) và Giả thuyết về Mối đe dọa Nội bộ (Internal Threat Hypothesis)**

### Hypothesis

Một **tác nhân đe dọa (threat actor)** có thể đang **thực hiện di chuyển ngang** trong mạng nội bộ nhằm mở rộng quyền truy cập đến các hệ thống khác bên trong tổ chức.

<figure><img src="/files/VJT5mX3hvF7EJpHksLqC" alt=""><figcaption></figcaption></figure>

#### **Nguồn dữ liệu phục vụ phân tích**

<table><thead><tr><th width="225.19998168945312">Nguồn dữ liệu</th><th>Mô tả</th></tr></thead><tbody><tr><td><strong>EDR Logs</strong></td><td>Ghi lại hoạt động bất thường trên các endpoint</td></tr><tr><td><strong>Network Traffic Logs</strong></td><td>Nhật ký lưu lượng giữa các thiết bị trong mạng nội bộ</td></tr><tr><td><strong>IDS/IPS Logs</strong></td><td>Ghi nhận các hoạt động tấn công khả nghi trong mạng nội bộ</td></tr></tbody></table>

### **Các bước phân tích**

1. **Hoạt động endpoint**
   * Theo dõi **tiến trình hoặc hành vi truy cập file bất thường** trên các endpoint.
2. **Cảnh báo từ Antivirus**
   * Điều tra những **cảnh báo mã độc** từ phần mềm diệt virus đã được cài đặt.
3. **Thực thi mã độc hại**
   * Phát hiện **hoạt động thực thi mã nghi ngờ**, ví dụ như thực thi PowerShell ẩn, dll injection...
4. **Cố gắng kết nối bất thường**
   * Giám sát **lưu lượng kết nối tăng đột biến** giữa các thiết bị trong mạng nội bộ.
5. **Truy cập vào thiết bị mới**
   * Kiểm tra **thiết bị A đột nhiên kết nối đến các hệ thống mà trước đây nó chưa từng truy cập**.
6. **Sử dụng giao thức không mong đợi**
   * Điều tra các **kết nối qua giao thức như SMB, RDP** không phù hợp với hành vi thường lệ.
7. **Quét cổng (Port Scans)**
   * Phân tích hành vi **quét cổng trong mạng nội bộ** hoặc kết nối đến **cổng lạ, không phổ biến**.
8. **Cảnh báo từ IDS/IPS**
   * Kiểm tra các **cảnh báo liên quan đến hoạt động tấn công**, ví dụ brute force, credential dumping…
9. **Phát hiện bất thường (Anomaly Detection)**
   * Phân tích các **cảnh báo IDS/IPS liên quan đến hành vi lệch chuẩn** trong luồng hoạt động thông thường.

<figure><img src="/files/pLJX0FPuIaPeNmDPglBP" alt=""><figcaption></figcaption></figure>

Kết quả mong đợi:

<table data-header-hidden><thead><tr><th width="333.20001220703125"></th><th></th></tr></thead><tbody><tr><td><strong>Dấu hiệu</strong></td><td><strong>Mối nguy tiềm tàng</strong></td></tr><tr><td>Hoạt động tiến trình hoặc file bất thường</td><td>Có thể là mã độc hoặc công cụ tấn công nội bộ</td></tr><tr><td>Tăng số lượng kết nối giữa các thiết bị</td><td>Di chuyển ngang (lateral movement) đang xảy ra</td></tr><tr><td>Cảnh báo từ IDS/IPS</td><td>Giai đoạn xâm nhập hoặc leo thang quyền hạn</td></tr></tbody></table>

### **Tóm tắt**

* EDR cung cấp **công cụ mạnh mẽ để phát hiện mối đe dọa nội bộ** trong quá trình threat hunting.
* Khi **đối mặt với hành vi di chuyển ngang**, các bước phân tích ở trên giúp **phát hiện sớm và phản ứng kịp thời**.
* Việc **giám sát hành vi** trong mạng nội bộ cho phép nhanh chóng phát hiện bất thường và **ngăn chặn sự lây lan** của kẻ tấn công.
* Đây là chiến lược chủ động nhằm **nâng cao năng lực phòng thủ và tăng khả năng phục hồi** trước các mối đe dọa phức tạp.

## 6. Thực hành với Wazuh

Đầu tiên chúng ta sẽ vô Discover của OpenSearch Dashboards nhé

<figure><img src="/files/xSP4o3Hu3haUHmy41ht4" alt=""><figcaption></figcaption></figure>

Tiếp theo sẽ lọc các log cần phân tích hay điều tra như thời gian cần phân tích, log kiểu gì, đến từ endpoint nào,...

<figure><img src="/files/3eFTQnLxVP0UmI5KBsLc" alt=""><figcaption></figcaption></figure>

Một số đúc rút sau quá trình thực hành, là có thể chọn những trường nào có thể hiển thị hoặc mong muốn hiển thị giúp cho mình tập trung việc phân tích tránh phân tâm vào những trường không thực sự cần thiết.

Như hình trên là ta đang tập trung vào xem trường các ID của các kỹ thuật được sử dụng ánh xạ với MITRE.

Có một lộ trình được đặt ra khi mình đưa ra giả thuyết đó là, sau khi mình có giả thuyết cần bắt đầu điều tra theo các agent -> thu được 1 agent cụ thể để phân tích làm giảm phạm vi lại -> từ đó tiếp tục phân tích các kỹ thuật có liên hệ với nhau của agent đó hoặc các thông tin chuỗi kỹ thuật kèm theo của giả thuyết mình đang điều tra.

<figure><img src="/files/bDvQHJjHurQsdEqufEbz" alt=""><figcaption></figcaption></figure>

Ta dễ dàng nhận ra, tôi đã thiết lập việc mình sẽ tập trung vào xem là log phát hiện xem các kỹ thuật ứng với MITRE là có ID là gì và định nghĩa của nó giúp cho việc điều tra phân tích trở nên nhanh chóng và thuận tiện và từ đó cũng dễ dàng tra cứu hơn.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/th/threat-hunting-and-ir-with-xdr-edr.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.