Bài 9 giám sát attt

Tập hợp dữ liệu và tri thức giúp hiểu rõ mối đe dọa mạng

Phần mềm phát hiện phần mềm độc hại

Cơ chế phòng thủ vật lý

Dữ liệu về hiệu suất hệ thống

Hash SHA256 của một tệp độc hại

Email nội bộ không mã hóa

Địa chỉ IP của người dùng nội bộ

Dữ liệu hiệu suất CPU

Chiến lược (Strategic)

Chiến thuật (Tactical)

Tự động (Automated)

Kỹ thuật số (Digital)

Hệ thống có thể phát hiện hành vi đáng ngờ dựa trên IOC đã biết

SIEM sẽ thay thế hoàn toàn các analyst

SIEM không cần cập nhật IOC mới

Cảnh báo chỉ phụ thuộc vào hash tệp tin

IP này khớp với IOC từ nguồn threat intelligence

IP nằm trong whitelist

Người dùng đăng nhập đúng mật khẩu

Không có thông tin cảnh báo

Cung cấp thông tin để tăng cường phòng thủ an ninh mạng

Kiểm tra tính hợp lệ của chứng chỉ SSL

Chống spam email

Phân tích traffic HTTP

MISP

VirusTotal

HTTP Log Analyzer

Sysinternals Suite

A. Thường là các dấu hiệu kỹ thuật về hành vi tấn công

B. Có thể tự động kiểm tra trong log hệ thống

C. Luôn chứa lệnh script

D. Được cấu hình sẵn trong hệ điều hành

Quản lý cấp cao

Chính sách hoạch định

Lập trình viên phần mềm

Chuyên gia frontend

A. IP, domain, thời gian tấn công

B. Tập tin độc hại và kết nối mạng

C. Danh sách blacklist phần mềm

D. Phân tích hành vi ở cấp độ cao