# Threat Hunting with SIEM

## 1. Introduction

Trong thế giới số ngày nay, **số lượng và mức độ phức tạp của các mối đe dọa mạng đang gia tăng nhanh chóng**. Việc xây dựng một chiến lược phòng thủ hiệu quả trước những mối đe dọa này ngày càng trở nên thách thức hơn. Trong bối cảnh đó, **hệ thống SIEM và hoạt động Threat Hunting** đóng vai trò **cốt lõi trong việc nâng cao mức độ trưởng thành an ninh mạng** của một tổ chức.

### SIEM là gì?

**SIEM (Security Information and Event Management)** là các công nghệ bảo mật có chức năng:

* **Thu thập log** từ nhiều nguồn (hệ điều hành, ứng dụng, thiết bị mạng, hệ thống bảo mật...)
* **Phân tích dữ liệu**, xây dựng **quy tắc tương quan (correlation rules)**
* Cung cấp **giám sát thời gian thực**, **phát hiện sự kiện bất thường**, **cảnh báo và báo cáo**

→ Nhờ đó, đội ngũ bảo mật có thể **phát hiện kịp thời các hoạt động nghi ngờ hoặc bất thường trong hệ thống mạng**.

### **Threat Hunting là gì?**

**Threat Hunting** là một quá trình **tìm kiếm chủ động** nhằm phát hiện và loại bỏ các mối đe dọa mạng, kể cả những mối đe dọa chưa được phát hiện hoặc không có cảnh báo rõ ràng.

Khác với việc chỉ phản ứng với các cảnh báo từ SIEM, Threat Hunting:

* Tập trung vào **việc phát hiện các mối đe dọa ẩn hoặc chưa biết**
* Các chuyên gia bảo mật sẽ xây dựng **giả thuyết cụ thể** và chủ động tìm kiếm các dấu hiệu trong mạng lưới để xác minh giả thuyết đó

### **Mối quan hệ giữa SIEM và Threat Hunting**

SIEM và Threat Hunting là **hai phương pháp bổ trợ cho nhau**:

<table><thead><tr><th width="278">SIEM cung cấp</th><th>Threat Hunter sử dụng</th></tr></thead><tbody><tr><td><strong>Tập dữ liệu toàn diện từ hệ thống</strong></td><td>Để xây dựng giả thuyết và điều tra</td></tr><tr><td><strong>Cảnh báo tự động hóa</strong></td><td>Để đánh giá, phân tích sâu và xác thực</td></tr><tr><td><strong>Log tập trung</strong></td><td>Phân tích hành vi và phát hiện dấu hiệu tấn công nâng cao</td></tr></tbody></table>

Sự phối hợp giữa SIEM và Threat Hunting **tăng cường tư thế phòng thủ an ninh mạng**, giúp tổ chức **chủ động đối phó với tấn công phức tạp và khó phát hiện hơn**.

## 2. **Vai trò của SIEM trong hoạt động Threat Hunting**

Hệ thống **SIEM (Security Information and Event Management)** đóng vai trò quan trọng trong việc **phát hiện và ngăn chặn các mối đe dọa an ninh mạng**. Trong quy trình threat hunting, các khả năng **thu thập dữ liệu toàn diện, phân tích và tương quan** của SIEM cho phép **phát hiện nhanh chóng và hiệu quả các mối đe dọa tiềm ẩn**.

### **1. Thu thập và tổng hợp dữ liệu (Data Collection & Aggregation)**

SIEM thu thập, hợp nhất và lưu trữ dữ liệu từ nhiều nguồn, bao gồm:

* **Thiết bị mạng**
* **Máy chủ**
* **Ứng dụng**
* **Endpoint**
* **Thiết bị bảo mật (Firewall, IDS/IPS, AV, DLP...)**

**Chi tiết:**

* **Thu thập log từ nhiều nguồn**: Firewall, IDS/IPS, hệ thống chống virus, DLP, v.v.
* **Làm giàu dữ liệu (Data Enrichment)**: Thêm ngữ cảnh như vị trí địa lý IP, dữ liệu CTI (Threat Intelligence).
* **Lưu trữ tập trung**: Mọi log được lưu tại một nơi duy nhất → dễ truy cập khi điều tra.

### **2. Phân tích thời gian thực và tương quan dữ liệu (Real-Time Analysis & Correlation)**

SIEM phân tích dữ liệu thu thập theo thời gian thực và áp dụng **các quy tắc tương quan (correlation rules)** để tạo ra insight có ý nghĩa.

**Tính năng:**

* **Phát hiện bất thường (Anomaly Detection)**: Nhận diện hành vi người dùng và hệ thống lệch chuẩn.
* **Tương quan sự kiện (Correlation Rules)**: Kết nối các log từ nhiều nguồn để tạo sự kiện cảnh báo.
* **Cảnh báo tức thì (Instant Alerts)**: Sinh cảnh báo ngay khi phát hiện hành vi nguy hiểm.

### **3. Phát hiện và phản ứng sự cố (Incident Detection & Response)**

SIEM cảnh báo các sự cố và hỗ trợ đội ngũ bảo mật phản ứng kịp thời:

* **Quản lý sự cố (Incident Management)**: Cho phép xử lý sự cố một cách nhanh chóng và hiệu quả.
* **Ưu tiên cảnh báo**: Phân loại cảnh báo theo mức độ nghiêm trọng.
* **Phản ứng và khắc phục (Response & Remediation)**: Hỗ trợ xử lý và giảm thiểu hậu quả từ các mối đe dọa.

### **4. Báo cáo và trực quan hóa (Reporting & Visualization)**

SIEM cung cấp các báo cáo và bảng điều khiển giúp hiểu rõ bức tranh an ninh tổng thể:

* **Báo cáo chi tiết**: Ghi lại kết quả threat hunting để chia sẻ với lãnh đạo và các bên liên quan.
* **Bảng điều khiển động (Dynamic Dashboards)**: Giám sát mối đe dọa theo thời gian thực.
* **Báo cáo tuân thủ (Compliance Reports)**: Đáp ứng các yêu cầu pháp lý (VD: ISO 27001, GDPR, NIST...).

### **5. Tự động hóa và điều phối (Automation & Orchestration)**

SIEM nâng cao hiệu quả bằng cách tự động hóa quy trình threat hunting và tích hợp với các công cụ bảo mật khác.

* **Phát hiện mối đe dọa tự động**: Giảm thao tác thủ công, tiết kiệm thời gian.
* **Tích hợp với SOAR**: Hợp tác với công cụ SOAR (Security Orchestration, Automation and Response) để tự động hóa phản ứng.
* **Tăng hiệu suất**: Giảm gánh nặng cho analyst, nâng cao khả năng phòng thủ.

### **Tóm tắt**

| Chức năng chính của SIEM trong Threat Hunting | Lợi ích                                |
| --------------------------------------------- | -------------------------------------- |
| Thu thập & phân tích dữ liệu toàn diện        | Tầm nhìn rộng khắp hệ thống            |
| Tương quan và phát hiện bất thường            | Phát hiện sớm mối đe dọa ẩn            |
| Phản ứng và khắc phục sự cố                   | Rút ngắn thời gian xử lý               |
| Trực quan hóa & báo cáo                       | Giúp giám sát và ra quyết định tốt hơn |
| Tự động hóa và tích hợp SOAR                  | Nâng cao hiệu quả và tốc độ phản ứng   |

✅ **SIEM là thành phần không thể thiếu** trong quy trình threat hunting hiện đại.\
Nó cung cấp **dữ liệu – tương quan – cảnh báo – phản ứng – báo cáo**, tất cả trong một hệ thống trung tâm.

## **3. Xây dựng và Kiểm thử Giả thuyết trong Threat Hunting**

Trong hoạt động **threat hunting**, việc **xây dựng giả thuyết** là một bước **then chốt**. Chuyên gia an ninh mạng cần **dự đoán các kịch bản tấn công tiềm ẩn** dựa trên dữ liệu hiện có và thông tin tình báo mối đe dọa (threat intelligence). Các giả thuyết này đóng vai trò **hướng dẫn quá trình truy vết và phát hiện hành vi tấn công cụ thể** hoặc các hoạt động bất thường.

<figure><img src="/files/kxxLfvf2KWA0VgAmHjSk" alt=""><figcaption></figcaption></figure>

### **1. Xây dựng Giả thuyết (Creating Hypotheses)**

**Phân tích dữ liệu và rà soát ban đầu**

Đây là bước đầu tiên trong quy trình threat hunting. Cần kiểm tra:

* **Logs từ SIEM**
* **Lưu lượng mạng**
* **Dữ liệu từ endpoint**

**Các hành vi cần quan sát:**

* **Truy cập bất thường**: Người dùng truy cập vào hệ thống hoặc dữ liệu mà họ không thường xuyên sử dụng
* **Đăng nhập đáng ngờ**: Nhiều lần đăng nhập thất bại hoặc đăng nhập vào khung giờ bất thường
* **Chuyển dữ liệu lớn bất thường**: Dòng dữ liệu lớn, sử dụng nhiều băng thông đột ngột
* **Sử dụng tài nguyên hệ thống tăng đột biến**: CPU, RAM hoặc Disk tăng không rõ nguyên nhân

> Dữ liệu về **sự kiện lịch sử** và **nguồn threat intelligence** (ISACs, threat feeds) là nguồn tham chiếu quan trọng để xây dựng giả thuyết chính xác.

### **2. Mô hình mối đe dọa và TTPs**

Việc hiểu rõ **chiến thuật, kỹ thuật và quy trình (TTPs)** của attacker là yếu tố then chốt trong threat hunting.

**MITRE ATT\&CK Framework hỗ trợ:**

* **Tactics (Chiến thuật)**: Mục tiêu của attacker (VD: truy cập ban đầu, leo thang đặc quyền)
* **Techniques (Kỹ thuật)**: Cách thức attacker thực hiện (VD: spear-phishing, PowerShell)
* **Procedures (Thủ tục cụ thể)**: Chi tiết cách nhóm APT triển khai kỹ thuật

> Sử dụng ATT\&CK giúp analyst xây dựng giả thuyết chính xác, sát với hành vi thực tế.

### **3. Định nghĩa Giả thuyết (Defining Hypotheses)**

Giả thuyết cần làm rõ:

* **Mục tiêu**: Phát hiện điều gì? Đối tượng mối đe dọa là gì?
* **Chỉ báo kỳ vọng (Expected Indicators)**: VD: hành vi copy file .pdf bất thường, hoặc đăng nhập vào ban đêm
* **Phương pháp kiểm tra**: Sử dụng log nào? Nguồn dữ liệu nào?
* **Kết quả mong đợi**: Nếu giả thuyết đúng → xác định được mối đe dọa. Nếu sai → tiếp tục xây lại giả thuyết.

**Ví dụ các kịch bản:**

* **Mối đe dọa nội bộ (Insider Threat)**: Nhân viên đánh cắp dữ liệu nhạy cảm
* **APT**: Một nhóm tấn công dai dẳng hoạt động âm thầm trong hệ thống
* **Rò rỉ dữ liệu (Data Exfiltration)**: Truy xuất dữ liệu lớn qua các cổng không chuẩn.

### **4. Kiểm thử Giả thuyết (Testing Hypotheses)**

**Thu thập dữ liệu (Data Collection)**

* **Xác định nguồn**: Endpoint, firewall, proxy, DNS, Active Directory...
* **Phương thức thu thập**: Syslog, agent, API...
* **Lưu trữ & xử lý**: Đưa vào nền tảng SIEM, data lake hoặc phân tích bằng script

**Phân tích dữ liệu (Data Analysis)**

* **Tiền xử lý**: Lọc bỏ thông tin nhiễu, chuẩn hóa dữ liệu
* **Trực quan hóa**: Dùng biểu đồ, bảng, timeline để phát hiện pattern bất thường
* **Lọc dữ liệu mục tiêu**: Chỉ giữ lại những sự kiện phục vụ giả thuyết

### **5. Phân tích và Tương quan (Analysis & Correlation)**

* **Phát hiện bất thường**: Phân tích hành vi lệch chuẩn của người dùng/hệ thống
* **Phân tích xu hướng**: So sánh với baseline hành vi trước đó
* **Tương quan dữ liệu đa nguồn**: Tạo rules liên kết các sự kiện (VD: user download 1GB từ file share + đăng nhập SSH từ xa sau 5 phút)

**Kỹ thuật phát hiện bất thường:**

* Machine Learning (unsupervised anomaly detection)
* Phân tích thống kê (z-score, IQR)
* Rule-based correlation (MITRE mappings, Sigma rules)

### **6. Xác nhận và Kết luận (Validation & Conclusion)**

* **Xác nhận đúng**:\
  → Ghi lại chi tiết mối đe dọa và phạm vi ảnh hưởng\
  → Hành động ứng phó: khóa tài khoản, cô lập thiết bị, quét malware…
* **Nếu sai**:\
  → Xác định false positive\
  → Tái định nghĩa giả thuyết mới

### **7. Cải tiến liên tục (Continuous Improvement)**

* **Vòng phản hồi (Feedback Loop)**: Rút ra bài học để nâng cao chất lượng threat hunting sau
* **Ghi chép & Báo cáo**: Tài liệu hóa toàn bộ quá trình giả thuyết → phân tích → xác nhận → phản ứng

### **Tóm tắt**

Quy trình xây dựng và kiểm thử giả thuyết bao gồm:

<table><thead><tr><th width="209.99996948242188">Giai đoạn</th><th>Mục tiêu chính</th></tr></thead><tbody><tr><td>Phân tích dữ liệu</td><td>Nhận diện hành vi bất thường ban đầu</td></tr><tr><td>Xây dựng giả thuyết</td><td>Định nghĩa kịch bản mối đe dọa cụ thể</td></tr><tr><td>Kiểm thử giả thuyết</td><td>Thu thập, phân tích và xác nhận mối đe dọa</td></tr><tr><td>Tối ưu liên tục</td><td>Tái sử dụng bài học để nâng cấp chiến lược hunting</td></tr></tbody></table>

## 4. **Giả thuyết về Mối đe dọa Nội bộ (Insider Threat Hypothesis)**

#### **Giả thuyết**

> *"Giả thuyết này dựa trên giả định rằng một nhân viên có thể cố gắng trích xuất trái phép dữ liệu nhạy cảm trước khi rời khỏi công ty. Nhân viên đó có thể sử dụng dữ liệu cho mục đích cá nhân hoặc chuyển giao cho một tổ chức khác."*

Sau khi xây dựng giả thuyết, quá trình threat hunting cần thực hiện các bước sau:

### **1. Thu thập dữ liệu**

SIEM có khả năng thu thập log từ nhiều nguồn. Để kiểm tra giả thuyết, cần thu thập đầy đủ các dữ liệu liên quan:

**Log hoạt động người dùng**

* **Thu thập log đăng nhập/đăng xuất**\
  → Trong SIEM, lọc theo tài khoản người dùng liên quan và phân tích thời gian đăng nhập/thoát.
* **Thu thập log truy cập tệp**\
  → Kiểm tra log máy chủ tệp, phân tích hoạt động truy cập file của người dùng cụ thể.

**Dữ liệu lưu lượng mạng**

* **Thu thập log FTP**\
  → Phân tích log mạng để phát hiện hành vi truyền dữ liệu lớn qua giao thức FTP.
* **Thu thập log email**\
  → Phân tích log máy chủ email, lọc các email có đính kèm tệp dung lượng lớn.

**Dữ liệu từ endpoint**

* **Thu thập log sử dụng USB**\
  → Kiểm tra log phần mềm bảo mật endpoint để xem người dùng có kết nối USB không, khi nào.
* **Thu thập log sao chép tệp**\
  → Phân tích log thiết bị đầu cuối để tìm các hoạt động copy tệp bất thường bởi người dùng nghi vấn.

### **2. Phân tích dữ liệu**

Phân tích chi tiết các hành vi bất thường được chỉ ra trong giả thuyết:

**Phân tích hoạt động người dùng**

* Lọc và kiểm tra toàn bộ hoạt động gần đây của người dùng theo khung thời gian.
* Đối chiếu hành vi truy cập và sao chép tệp từ log file server và endpoint.

**Tương quan và phát hiện bất thường**

* **Sao chép tệp vào thời điểm lạ**\
  → Phát hiện hoạt động sao chép tệp lớn vào ban đêm hoặc ngoài giờ làm việc.
* **Truyền dữ liệu bất thường**\
  → Tìm kiếm hoạt động truyền file bất thường (upload lớn, kết nối lạ...) trong log mạng.

### **3. Xác nhận và Kết luận**

**Xác thực giả thuyết**

* Xác định xem người dùng có thực hiện **sao chép lượng lớn dữ liệu nhạy cảm** trước khi rời công ty không.
* Dựa trên dữ liệu thu thập trong SIEM, phân tích các hành vi bất thường để **xác minh giả thuyết đúng hay sai**.

**Phản ứng nếu giả thuyết đúng**

* **Khóa tài khoản ngay lập tức**\
  → Thu hồi quyền truy cập của tài khoản trong SIEM.
* **Mở điều tra nội bộ**\
  → Rà soát và báo cáo toàn bộ log liên quan để phục vụ điều tra chi tiết.

**Nếu giả thuyết bị bác bỏ**

* Tạo ra giả thuyết mới dựa trên các hành vi nghi ngờ khác.
* Trong SIEM, lọc dữ liệu để xác định các bất thường mới và khởi động quy trình threat hunting mới dựa trên các giả thuyết đó.

### Tóm tắt

Quy trình trên trình bày cách **kiểm thử và xác nhận giả thuyết mối đe dọa nội bộ bằng SIEM**, bao gồm:

<table><thead><tr><th width="183.60000610351562">Bước</th><th>Mục tiêu</th></tr></thead><tbody><tr><td>Thu thập dữ liệu</td><td>Ghi nhận đầy đủ hoạt động liên quan đến người dùng nghi vấn</td></tr><tr><td>Phân tích</td><td>Xác định các hành vi bất thường hoặc nguy cơ rò rỉ dữ liệu</td></tr><tr><td>Tương quan</td><td>So sánh nhiều nguồn dữ liệu để tăng độ chính xác</td></tr><tr><td>Xác nhận</td><td>Khẳng định hoặc bác bỏ giả thuyết</td></tr><tr><td>Phản ứng</td><td>Ngăn chặn kịp thời nếu mối đe dọa là có thật</td></tr></tbody></table>

> Thực hiện đúng quy trình sẽ giúp tổ chức **chủ động phát hiện và ngăn chặn mối đe dọa từ bên trong**, tăng cường khả năng bảo vệ dữ liệu nhạy cảm.

## 5. **Giả thuyết về Hoạt động Đáng ngờ của Tài khoản Quản trị viên**

#### **Giả thuyết**

> *“Kẻ tấn công có thể đã chiếm quyền một tài khoản quản trị viên nhằm truy cập vào các hệ thống quan trọng.”*

#### **Nguồn dữ liệu cần thu thập**

<table><thead><tr><th width="278">Nguồn dữ liệu</th><th>Mô tả</th></tr></thead><tbody><tr><td><strong>Log SIEM</strong></td><td>Tập trung tất cả log hệ thống, người dùng và ứng dụng từ nhiều nguồn</td></tr><tr><td><strong>Log hệ điều hành (OS)</strong></td><td>Nhật ký sự kiện hệ thống, tiến trình, hoạt động người dùng</td></tr><tr><td><strong>Log quản lý tài khoản</strong></td><td>Thay đổi mật khẩu, nhóm, phân quyền</td></tr><tr><td><strong>Log Active Directory (AD)</strong></td><td>Thay đổi người dùng, nhóm, chính sách GPO, khóa/mở tài khoản</td></tr><tr><td><strong>Log Firewall</strong></td><td>Kết nối mạng đến/đi, kiểm soát cổng</td></tr><tr><td><strong>Log EDR</strong></td><td>Phát hiện hành vi bất thường trên endpoint</td></tr><tr><td><strong>Cơ sở dữ liệu Threat Intelligence</strong></td><td>IP/domain độc hại đã biết</td></tr></tbody></table>

#### **Các bước phân tích**

### **1. Phân tích đăng nhập tài khoản admin**

* **Thất bại đăng nhập**: Kiểm tra các lần đăng nhập không thành công vào tài khoản admin
* **Thành công sau thất bại**: Phân tích các trường hợp đăng nhập thành công sau chuỗi đăng nhập sai liên tiếp

### **2. Phân tích hoạt động quản lý tài khoản**

* **Thay đổi quyền**: Giám sát các thay đổi phân quyền nhóm/người dùng bất thường
* **Thay đổi mật khẩu**: Kiểm tra xem tài khoản quản trị viên có bị đổi mật khẩu trái phép không
* **Tạo/xóa tài khoản**: Theo dõi các hành động tạo hoặc xóa người dùng/nhóm không xác định

### **3. Lưu lượng mạng & kết nối**

* **Kết nối bất thường**: Phát hiện hành vi tài khoản admin khởi tạo kết nối bất thường
* **Đích mới**: Kết nối đến IP chưa từng truy cập trước đó
* **Sử dụng cổng lạ**: Kiểm tra kết nối qua các cổng không phổ biến (vd: 4444, 3389 ngoài giờ)

### **4. Phân tích log từ EDR**

* **Tiến trình bất thường**: Giám sát các tiến trình hiếm gặp chạy bởi tài khoản admin
* **Hoạt động quyền cao**: Theo dõi hoạt động đáng ngờ sử dụng quyền hệ thống
* **Phát hiện mã độc**: Kiểm tra kết quả từ phần mềm AV/EDR có phát hiện mối đe dọa hay không

### **5. Phân tích log Active Directory**

* **Thay đổi quan trọng**: Ghi nhận các thay đổi nhạy cảm như GPO, khóa tài khoản
* **Đăng nhập AD**: Kiểm tra các hành vi đăng nhập vào AD bởi tài khoản quản trị viên

### **6. Tích hợp Threat Intelligence**

* **Đối chiếu IP**: So sánh IP mà tài khoản admin kết nối với CSDL IP độc hại
* **Danh tiếng domain**: Đánh giá domain truy cập có bị gắn cờ (malicious/suspicious) không

#### **Kết quả mong đợi**

| Dấu hiệu phát hiện                                       |
| -------------------------------------------------------- |
| Các lần đăng nhập sai liên tiếp vào tài khoản admin      |
| Đăng nhập thành công bất ngờ sau thất bại                |
| Thay đổi phân quyền người dùng/nhóm không rõ lý do       |
| Tạo hoặc xóa tài khoản không được phê duyệt              |
| Kết nối mạng bất thường từ tài khoản admin               |
| Tiến trình lạ hoặc thao tác file bất thường tại endpoint |
| Truy cập IP/domain được đánh giá độc hại từ Threat Intel |
| Thay đổi quan trọng trong AD như Group Policy, Lockout   |

### **Tóm tắt**

* SIEM là nền tảng quan trọng để **phát hiện hành vi đáng ngờ của tài khoản quản trị viên**.
* Việc kết hợp **log hệ thống, dữ liệu từ endpoint, AD và threat intelligence** giúp phát hiện sớm các hành vi chiếm quyền.
* Quá trình này **nâng cao khả năng phòng thủ chủ động** và bảo vệ hệ thống trước các tấn công leo thang đặc quyền (privilege escalation) hoặc lateral movement.

## 6. Thực hành giả thuyết 1

Giả thuyết: Có thể có những nỗ lực truy cập vào các máy chủ và cổng trái phép từ máy chủ Linux nằm trong môi trường DMZ.

Đầu tiên sẽ kiểm tra xem log firewall xem có một log nào ghi hành vi thêm 1 rule firewall. Bằng việc đầu tiên tôi sẽ lọc `rule.groups: firewall` sau đó hiển thị `data.action` để xem những hình vi gì mà log ghi lại. Ở đây sẽ kiểm tra xem có log nào có hành vi là `Add` hay không? Hoặc có thể lọc theo giá trị Add luôn.

<figure><img src="/files/INrLpTPuvgjcijWhWDnk" alt=""><figcaption></figcaption></figure>

Như ở trong hình trên thì tôi đã thêm 2 filter giúp phát hiện chính xác hành vi add thêm 1 rule mà tường lửa log lại.

ở đây thì ta dễ dàng nhận thấy được hành vi thêm rule như sau:

```
action[accept] srcaddr[all] dstaddr[172.16.8.190] service[ssh] nat[enable]
```

Đây là rule **Chấp nhận kết nối SSH từ mọi địa chỉ IP nguồn đến IP 172.16.8.190 và bật NAT.** Đơn giản nó cho phép người dùng từ bên ngoài hoặc toàn bộ mạng nội bộ SSH vào máy chủ có IP 172.16.8.190

<figure><img src="/files/TkYTa8grVSppdX2vKzrA" alt=""><figcaption></figcaption></figure>

Một điểm chú ý là rule này được add bởi user là `fwadmin`

<figure><img src="/files/Z04127CcTNkQ02fydYlt" alt=""><figcaption></figcaption></figure>

Vì đã thấy có sự đáng ngờ trong việc tạo rule mới cho phép kết nối SSH đến máy chủ có địa chỉ ip là `172.16.8.190` nên chúng ta sẽ kiểm tra xem liệu rằng có việc kết nối đăng nhập ssh đến nó như thế nào?

<figure><img src="/files/01vPWoADahFnV600VSIY" alt=""><figcaption></figcaption></figure>

Quả thật đúng, thấy rõ ràng việc thấy có 25 events đã được ghi lại việc đăng nhập thành công hay thất bại. Có tới tận 24 events đăng nhập thất bại và cuối cùng thành công dẫn đến nghi ngờ việc tấn công brute force tài khoản mật khẩu nhằm đăng nhập thông qua ssh.

<figure><img src="/files/MKfjSQ6TNJdE7Re1plkm" alt=""><figcaption></figcaption></figure>

Phân tích event đăng nhập thành công thấy được địa chỉ ip nguồn kết nối thành công là `12.13.14.15`

Những điểm ta sẽ cần lưu ý để tối ưu việc phân tích đó là việc chú ý đến timestamp để có thể lọc sao cho tập trung vào đúng lúc và thời điểm cần thiết phân tích. Ở đây thời điểm đăng nhập thành công là `17:59:15 Aug 2`&#x20;

<figure><img src="/files/BL2kunePxJVt24ll0PAO" alt=""><figcaption></figcaption></figure>

Từ đó ta có thể thấy đăng nhập thành công và sau đó chúng cài đặt công cụ nmap để thực hiện hành vi quét nội bộ.

<figure><img src="/files/Lr1GIU9GSWJsxrktmJiB" alt=""><figcaption></figcaption></figure>

Trên là log ghi lại câu lệnh nmap để quét giải mạng nội bộ `10.10.10.0/24` với port 22 ssh.

Kết quả cuối là đã đăng nhập thành công vào một agent có ip là `10.10.10.24`

<figure><img src="/files/aWBuLDf5VCw0xX3bfgT2" alt=""><figcaption></figcaption></figure>

## 7. Thực hành giả thuyết 2

Giả thuyết: Tài khoản người dùng có quyền truy cập VPN có thể đã bị xâm phạm và có thể xảy ra các nỗ lực truy cập trái phép.

<figure><img src="/files/Kp36Q9IQjXBaF3k3mtel" alt=""><figcaption></figcaption></figure>

Lọc các logs liên quan đên VPN và kiểm tra những lần đăng nhập thất bại để thấy được tài khoản nào đang đăng nhập thất bại nhiều lần.

Rồi từ đó ta sẽ tìm kiếm các thông tin liên quan đến tài khoản đã đăng nhập, rồi xem nó đăng nhập ở đâu, liên kết đăng nhập và tương tác tạo đường hầm liên hệ với server nào trong mạng nội bộ để từ đó kiếm được xem bên nào đang bị khai thác.

## 8. Thực hành giả thuyết 3

Giả thuyết: Các dịch vụ FTP được cấu hình sai trên máy chủ trong môi trường DMZ có thể khiến các tài khoản người dùng ẩn danh mở, có khả năng cho phép tải lên và tải xuống tệp trái phép.

<figure><img src="/files/UkqYnAB7A5bAqnhiRmpq" alt=""><figcaption></figcaption></figure>

Kiểm tra xem máy chủ ftp đã được đăng nhập thành công bởi những ai và họ là những người như thế nào.

<figure><img src="/files/QTzzERI9jnlZzKiMQuuR" alt=""><figcaption></figcaption></figure>

`anonymous` đến từ China, là một event rất khả nghi.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/th/threat-hunting-with-siem.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.