Bài 7 giám sát attt

Hành vi của người dùng, tiến trình hoặc thành phần mạng tại một thời điểm

Cấu hình hệ thống mạng

Thông số của firewall

Kiến trúc mạng nội bộ

Cùng IP nguồn hoặc đích

Mức độ ưu tiên của firewall

Cấu hình hệ điều hành

Loại thiết bị lưu trữ

SSH brute-force failed attempts

Tạo tài khoản mới trên hệ thống

Tải file log từ máy chủ

Phân tích log bằng phần mềm

Tải mã độc về từ Internet

Khôi phục hệ thống từ bản backup

Cập nhật thư viện bảo mật

Phân tích log tự động

Gán quyền thực thi cho script

Mã hóa dữ liệu đầu vào

Nén file log hệ thống

Gán quyền root cho người dùng

Xác định chính xác thứ tự các hành động

Liên kết sự kiện từ các nguồn khác nhau

Xóa các bản ghi lỗi

Phân mảnh dữ liệu log

curl loader.sh → chmod +x loader.sh

Sudo chỉnh sửa /etc/passwd

Ping đến 8.8.8.8

Kiểm tra kết nối mạng nội bộ

Xác định kỹ thuật tấn công cụ thể

Gán mỗi hành vi với tactic tương ứng trong attack lifecycle

Tự động hóa cập nhật hệ điều hành

Tạo bản đồ địa lý các địa chỉ IP

Xác định số lần xảy ra trong một khoảng thời gian

Tạo định dạng cho log file

Tự động gửi báo cáo qua email

Lưu trữ log ngắn hạn

Rule phân tích hành vi thực thi trên thư mục /tmp

Rule phát hiện upload ảnh lên server

Rule cấu hình NAT

Rule phát hiện thời gian bật máy