TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (307.67 KB, 16 trang )
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TỒN
MẠNG TRÊN NỀN TẢNG WAZUH
Ngành: An tồn thơng tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Anh Phan
Lớp: AT12A
Người hướng dẫn:
ThS. Cao Minh Tuấn
Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã
Hà Nội, 2020
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TỒN
MẠNG TRÊN NỀN TẢNG WAZUH
Ngành: An tồn thơng tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Anh Phan
Lớp: AT12A
Người hướng dẫn:
ThS. Cao Minh Tuấn
Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã
Hà Nội, 2020
MỤC LỤC
Danh mục kí hiệu và viết tắt..............................................................................iii
Danh mục hình vẽ...............................................................................................iv
Danh mục bảng...................................................................................................vi
Lời cảm ơn.........................................................................................................vii
Lời nói đầu........................................................................................................viii
Chương 1. Giám sát an tồn thơng tin trong mạng máy tính.........................1
1.1. Tổng quan về tình hình ATTT trong mạng máy tính hiện nay.....................1
1.2. Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC...........................3
1.3. Trung tâm điều hành ATTT SOC.................................................................4
1.3.1. Khái niệm trung tâm điều hành ATTT SOC.......................................4
1.3.2. Nguyên lý hoạt động của Trung tâm điều hành ATTT SOC..............5
1.3.3. Đối tượng, phạm vi giám sát của Trung tâm điều hành ATTT SOC
5
1.4. Một số sản phẩm giám sát ATTT................................................................10
1.4.1. SIEMonster......................................................................................11
1.4.2. ELK Stack........................................................................................11
1.4.3. OSSIM..............................................................................................12
1.4.4. Security Onion.................................................................................12
1.4.5. IBM QRadar SIEM..........................................................................13
1.4.6. HP ArcSight SIEM...........................................................................13
1.5. Lợi ích của việc xây dựng Trung tâm điều hành ATTT SOC.....................14
1.6. Kết luận chương 1.......................................................................................14
Chương 2. Hệ thống giám sát an tồn thơng tin wazuh.................................15
2.1. Giới thiệu về Wazuh....................................................................................15
2.2. Kiến trúc của Wazuh...................................................................................16
2.3. Phương thức liên lạc và luồng dữ liệu.........................................................17
2.3.1. Liên lạc giữa Wazuh agent và Wazuh server...................................18
2.3.2. Liên lạc giữa Wazuh và Elastic.......................................................18
2.4. Các thành phần chính trong Wazuh............................................................18
2.4.1. Wazuh server...................................................................................18
2.4.2. Wazuh agent.....................................................................................20
2.4.3. Elastic Stack.....................................................................................21
2.5. Luật trong Wazuh........................................................................................22
2.5.1. Các cấp độ luật của Wazuh.............................................................22
2.5.2. Phân loại luật..................................................................................26
2.6. Khả năng của Wazuh...................................................................................27
2.6.1. Phân tích bảo mật............................................................................27
2.6.2. Phát hiện xâm nhập.........................................................................27
2.6.3. Phân tích dữ liệu nhật ký.................................................................27
2.6.4. Giám sát tồn vẹn tệp......................................................................28
2.6.5. Phát hiện lỗ hổng.............................................................................28
2.6.6. Đánh giá cấu hình...........................................................................28
2.6.7. Ứng phó sự cố..................................................................................28
2.6.8. Tuân thủ quy định............................................................................29
2.6.9. Giám sát an ninh cloud....................................................................29
2.6.10.Bảo mật Containers.........................................................................29
2.7. Kết luận chương 2.......................................................................................30
Chương 3. Xây dựng trung tâm điều hành an tồn thơng tin dựa trên nền
tảng wazuh.........................................................................................................31
3.1. Cơ sở lý thuyết xây dựng Trung tâm điều hành ATTT SOC......................31
3.1.1. Nền tảng Trung tâm điều hành ATTT SOC.....................................31
3.1.2. Đề xuất tiêu chí xây dựng SOC........................................................33
3.1.3. Đề xuất các bước xây dựng Trung tâm điều hành ATTT SOC........37
3.1.4. Xây dựng các thành phần cơ bản của SOC.....................................39
3.2. Tích hợp wazuh trong trung tâm giám sát ATTT SOC...............................49
3.3. Thử nghiệm.................................................................................................52
3.3.1. Xây dựng hệ thống...........................................................................52
3.3.2. Kịch bản 01......................................................................................53
3.3.3. Kịch bản 02......................................................................................56
3.3.4. Kịch bản 03......................................................................................63
3.4. Kết luận chương 3.......................................................................................68
Kết luận..............................................................................................................69
Tài liệu tham khảo.............................................................................................70
Phụ lục................................................................................................................72
DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
ATTT
CIS
CNTT
CVE
EDR
EPS
HIDS
IDS
NAC
OVAL
PAM
SOAR
SOC
TSLCD
TT&TT
TTDL
XCCDF
An tồn thơng tin
Center of Internet Security
Công nghệ thông tin
Common Vulnerabilities and Exposures
Endpoint Detection and Response
Events Per Second
Host-based Intrusion Detection System
Intrusion Detection System
Network Access Control
Open Vulnerability Assesment Language
Privileged Access Management
Security Orchestration, Automation, and Response
Security Operations Center
Truyền số liệu chuyên dụng
Thông tin và truyền thông
Trung tâm dữ liệu
Extensible Configuration Checklist Description Format
DANH MỤC HÌNH VẼ
Hình 1.1 Ngun lý hoạt động của SOC...............................................................5
Hình 2.1 Mơ tả về chức năng của hệ thống Wazuh............................................15
Hình 2.2 Các nền tảng chính trong wazuh..........................................................15
Hình 2.3 Kiến trúc tổng quát...............................................................................17
Hình 2.4 Kiến trúc wazuh triển khai trên diện rộng............................................17
Hình 2.5 Kiến trúc luồng dữ liệu.........................................................................17
Hình 2.6 Quy trình xử lý dữ liệu trên wazuh server............................................19
Hình 2.7 Quy trình xử lý dữ liệu trên wazuh agent.............................................20
Hình 3.1 Yếu tố quan trọng trong SOC...............................................................31
Hình 3.2 Các bước xây dựng trung tâm điều hành ATTT SOC..........................37
Hình 3.3 Thành phần cơ bản của trung tâm điều hành ATTT SOC....................40
Hình 3.4 Mơ hình hạ tầng mạng trung tâm điều hành ATTT SOC.....................40
Hình 3.5 Thành phần của hệ thống giám sát tập trung........................................43
Hình 3.6 Mơ hình triển khai hệ thống sử dụng wazuh........................................51
Hình 3.7 Mơ hình thử nghiệm.............................................................................53
Hình 3.8 Dashboard lỗ hổng hệ thống.................................................................55
Hình 3.9 Log của một lỗ hổng được phát hiện....................................................55
Hình 3.10 Thơng tin JSON của lỗ hổng..............................................................56
Hình 3.11 Đăng ký nhận API của Virus Total miễn phí.....................................56
Hình 3.12 Tạo file trong thư mục........................................................................57
Hình 3.13 Thơng tin hiển thị việc thêm file trên dashboard (1)..........................58
Hình 3.14 Thơng tin hiển thị việc thêm file trên dashboard (2)..........................58
Hình 3.15 Log thêm file được ghi lại trên hệ thống............................................59
Hình 3.16 Nội dung dữ liệu được viết trong file.................................................59
Hình 3.17 Virus Total tự động kiểm tra mã độc trong file mới được thêm........60
Hình 3.18 Sửa nội dung tệp tin............................................................................60
Hình 3.19 Thơng tin về việc thay đổi nội dung file............................................61
Hình 3.20 Thêm thư mục chứa mã độc...............................................................61
Hình 3.21 Virus Total tự động phát hiện mã độc trong thư mục mới thêm........62
Hình 3.22 Kiểm tra thơng tin trên Virus Total....................................................63
Hình 3.23 Kiểm tra kết nối mạng giữa máy Attacker và ubuntu agent...............65
Hình 3.24 Thực hiện SSH từ máy Attacker đến máy agent................................65
Hình 3.25 Thực hiện giả định tấn cơng SSH brute force....................................66
Hình 3.26 Attacker thực hiện ping đến agent......................................................66
Hình 3.27 Attacker SSH đến agent.....................................................................67
Hình 3.28 Log ghi lại trên agent..........................................................................67
Hình 3.29 Log của thơng tin chặn IP của Attacker.............................................67
Hình 3.30 Kết nối máy Attacker và agent khi hết thời gian chặn.......................68
Hình 3.31 Log trên dashboard về việc bỏ chặn IP của Attacker.........................68
Hình 3.32 Thêm windows agent..........................................................................76
Hình 3.33 Sinh khóa chia sẻ trước của windows agent.......................................76
Hình 3.34 Đăng ký, kết nối đến wazuh server....................................................77
Hình 3.35 Xác nhận kết nối đến wazuh server....................................................77
Hình 3.36 Thêm ubuntu agent.............................................................................77
Hình 3.37 Sinh khóa chia sẻ trước của ubuntu agent..........................................78
Hình 3.38 Thêm key để kết nối với wazuh server...............................................78
Hình 3.39 Xác nhận kết nối đến wazuh server....................................................78
DANH MỤC BẢNG
Bảng 2.1 Các cấp độ luật trong Wazuh...............................................................22
YBảng 3.1 Danh mục thiết bị trong trung tâm điều hành ATTT
SOC…………...48
Bảng 3.2 Cấu hình máy ảo thử nghiệm...............................................................53
LỜI CẢM ƠN
Trong quá trình thực hiện đồ án tốt nghiệp này, em đã nhận được sự giúp
đỡ tận tình của cán bộ hướng dẫn là ThS. Cao Minh Tuấn – Giảng viên Khoa An
tồn thơng tin Học viện Kỹ thuật Mật mã.
Đồng thời, em xin gửi lời cảm ơn đến các thầy cô trong Học viện Kỹ thuật
Mật mã đã truyền đạt cho em những kiến thức từ cơ bản đến nâng cao suốt năm
năm học giúp em có được những kiến thức cơ bản để em có thể hoàn thành được
đồ án này.
Em xin gửi lời cảm ơn tới các anh chị trong Trung tâm An ninh mạng –
Bkav đã nhiệt tình chia sẻ kiến thức giúp em học hỏi được rất nhiều trong quá
trình học tập và làm việc.
Do thời gian nghiên cứu và làm việc trong lĩnh vực an ninh mạng còn hạn
chế, vậy nên chắc chắn sẽ khơng thể tránh khỏi những thiếu sót khi thực hiện đồ
án, em rất mong nhận được sự góp ý từ thầy cơ để có thể hồn thiện tốt hơn đồ
án của mình.
Và cuối cùng em muốn gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, người
thân đã quan tâm, góp ý và giúp đỡ em trong suốt quá trình học tập và nghiên
cứu, những điều kiện tốt nhất để em hoàn thành đồ án tốt nghiệp này.
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Nguyễn Anh Phan
LỜI NÓI ĐẦU
Cùng với sự bùng nổ của internet và cách mạng công nghiệp 4.0 đã tạo
nên một xã hội tồn cầu, nơi mà mọi người có thể tương tác và liên lạc với nhau
một cách nhanh chóng và hiệu quả. Thật khơng thể phủ nhận được vai trị của
internet trong nhiều phương diện cuộc sống hàng ngày từ thương mại đến giải
trí, văn hóa, xã hơ ̣i và giáo dục… phục vụ cho tiến trình phát triển đất nước bền
vững. Nhưng thực tế trong những năm qua, tình hình an ninh mạng trên thế giới
diễn biến phức tạp và diễn ra nhiều cuộc tấn cơng có quy mơ lớn. Mục tiêu của
các cuộc tấn công mạng rất đa dạng từ những thông tin cá nhân, những thông tin
về kinh doanh đến những mục tiêu chính trị với tầm ảnh hưởng lớn tới nhiều
quốc gia trên thế giới.
Trước sự leo thang của các cuộc tấn cơng mạng địi hỏi sự ra đời của
những đơn vị chun mơn, có khả năng xử lý nhanh các sự cố và giám sát liên
tục để phát hiện bất thường dù là nhỏ nhất. Mô hình Trung tâm điều hành ATTT
SOC là nơi xây dựng các giải pháp tổng thể nhằm ứng phó với các cuộc tấn
công được lên kế hoạch kỹ lưỡng.
Trung tâm điều hành ATTT SOC sẽ giúp các cơ quan tổ chức theo dõi,
giám sát những nguy cơ, rủi ro 24/7, từ đó phát hiện sớm các lỗ hổng, các cuộc
tấn cơng để chủ động ứng phó. Trung tâm thu thập dữ liệu từ nhiều nguồn như
NIDS, HIDS, raw log,....để có thể phân tích, tương quan dữ liệu từ đó đưa ra
cảnh báo ngay khi xuất hiện nguy cơ về cuộc tấn cơng như có lưu lượng truy cập
bất thường, có kết nối trái phép vào máy chủ hay hành vi dò qt trong mạng.
Chính vì vậy, các kết nối với máy chủ mã độc, các cuộc tấn công web hay
DDoS, APT đã bị chặn đứng khi mới chỉ là nguy cơ.
Nhận thấy tầm quan trọng của việc xây dựng Trung tâm điều hành ATTT
SOC là sự tất yếu, cấp thiết để đảm bảo an tồn, an ninh thơng tin của các cơ
quan, tổ chức. Vì vậy, em đã quyết định chọn đề tài “Tìm hiểu và triển khai
trung tâm giám sát an toàn mạng trên nền tảng Wazuh”, nhằm xây dựng trung
tâm giám sát tích hợp nguồn thu thập log từ các thiết bị. Từ đó có thể phân tích
hành vi người dùng cũng như có khả năng phát hiện các cuộc tấn công diễn ra
trên một hay nhiều thiết bị.
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Nguyễn Anh Phan
1. GIÁM SÁT AN TỒN THƠNG TIN TRONG MẠNG MÁY TÍNH
1. Tổng quan về tình hình ATTT trong mạng máy tính hiện nay
Trong những năm qua, tình hình ATTT trên thế giới diễn biến phức tạp và
diễn ra nhiều cuộc tấn cơng có quy mơ lớn. Trung bình cứ mỗi phút trơi qua có
một trang web, hệ thống bị tin tặc chiếm quyền kiểm soát.
Từ năm 2010, nhà máy điện nguyên tử Busher và cơ sở làm giàu urani
Natanz đã bị mã độc phá hoại gây trì hỗn các hoạt động phát triển hạt nhân của
Iran trong nhiều tháng liền. Thủ phạm gây ra các vụ tấn công này là virus
Stuxnet, với cơ chế hoạt động cực kỳ phức tạp, khai thác thành công một số lỗ
hổng chưa hề biết đến trước đó. Sau vụ việc này, Iran đã phải loại bỏ gần 1000 1
máy ly tâm khiến chương trình hạt nhân của nước bị gián đoạn ít nhất một năm.
Giữa năm 2012 nhóm hacker mang tên “Cutting Sword of Justice” đã tấn
công vào hệ thống của công ty dầu mỏ Saudi Aramco (công ty chiếm 10% lượng
dầu mỏ của cả thế giới). Hacker đã gửi một email lừa đảo đến một nhân viên
trong công ty, nhân viên này đã bấm vào đường dẫn trong email này, từ đó
hacker đã xâm nhập vào hệ thống. Cuộc tấn cơng đã xố và làm hỏng dữ liệu
của khoảng 30.0002 máy tính của Saudi Aramco, khiến công ty này phải sử dụng
máy đánh chữ và máy fax để thực hiện các giao dịch.
Tháng 01/2015, các website của thủ tướng Angela Merkel và quốc hội
Đức bị tê liệt. Văn phòng của thủ tướng Đức xác nhận các website nói trên bị
ngừng hoạt động kể từ 9h sáng ngày 07/01/20153. Một nhóm tin tặc tự xưng là
CyberBerkut tuyên bố đã tiến hành cuộc tấn công mạng này để phản đối chuyến
thăm của Thủ tướng Ukraine Arseniy Yatsenyuk tới Berlin. Đến tháng 05/2015,
nữ phát ngôn viên của Quốc hội Đức tiếp tục tuyên bố một nhóm hacker chưa rõ
danh tính đã cố gắng xâm nhập vào mạng dữ liệu của quốc hội.
Tháng 07/2018, đại diện Bộ Y tế Singapore và Bộ Thông tin Truyền
thông nước này cho biết hệ thống dữ liệu của SingHealth, tổ chức bảo hiểm y tế
1
Stuxnet Worm Attack on Iranian Nuclear Facilities, />Cyber Threat Research, />3
Cyberattack in Germany Shuts Down Official Sites,
/>2
lớn nhất nước, đã bị tin tặc tấn công. Vụ tấn công đã tiếp cận và sao chép thông
tin cá nhân 1,5 triệu4 người dùng của SingHealth. Trong danh sách người dùng
của SingHealth bị rị rỉ thơng tin cá nhân cịn có thơng tin của Thủ tướng
Singapore Lý Hiển Long. Đây là vụ tấn công mạng đánh cắp thông tin cá nhân
nghiêm trọng nhất ở Singapore từ trước đến nay.
Đối với Việt Nam, theo thông tin hãng an ninh mạng Kaspersky công bố
năm 2016, tại khu vực châu Á – Thái Bình Dương, nước ta là nước có số người
dùng gặp sự cố máy tính cao nhất (chiếm 68%) 5, điển hình là lây nhiễm mã độc
mã hóa tống tiền (ransomware).
Năm 2016 cũng là năm xảy ra cuộc tấn công vào các cảng hàng không
quốc tế của Việt Nam, đây là vụ tấn công APT nhắm vào các hệ thống thông tin
quan trọng của Việt Nam. Vào 13 giờ 46 phút ngày 29/07/2016 tại Cảng hàng
không quốc tế Tân Sơn Nhất và 16 giờ 7 phút tại Cảng hàng không quốc tế Nội
Bài, các hệ thống máy tính làm thủ tục hàng không của Hãng Hàng không
VietJet Air, Vietnam Airline tại nhà ga quốc nội của sân bay Tân Sơn Nhất và
hệ thống hiển thị thông tin bao gồm màn hình thơng tin chuyến bay, màn hình
máy tính phục vụ check-in tại quầy thủ tục của Vietnam Airline, hệ thống phát
thanh tại nhà ga khách T1 của sân bay Nội Bài bị tấn công xâm nhập phải dừng
hoạt động. Tại thời điểm này, hệ thống hiển thị các thông tin và phát ra âm thanh
sai lệch về vấn đề chủ quyền Biển Đơng. Cùng thời điểm trên, website chính
thức của Vietnam Airline cũng bị tin tặc tấn công và thay đổi giao diện. Khơng
những thế, tin tặc cịn để lại những cơng kích mang những nội dung bơi xấu Việt
Nam, Philippines và xuyên tạc về chủ quyền ở Biển Đông. Ngồi ra, tin tặc cịn
phát tán một bảng danh sách ước tính hơn 400.0006 tài khoản hội viên Golden
Lotus của Vietnam Airlines. Trong danh sách này có đầy đủ thơng tin cá nhân
như ngày gia nhập, điểm tích luỹ, ngày hết hạn…
4
Vụ tấn công mạng chấn động Singapore: đánh cắp thơng tin cá nhân của 1,5 triệu người, trong đó có thủ tướng
Lý Hiển Long, />5
An ninh mạng tại Việt Nam năm 2014 đến năm 2017, />6
Sân bay Nội Bài, Tân Sơn Nhất bị tin tặc tấn công, />
Theo đánh giá của Bộ TT&TT vào tháng 4/2019 về an tồn thơng tin năm
2018, đa số Bộ, ngành, địa phương (70%)7 được xếp hạng C tức là quan tâm
triển khai ATTT ở mức trung bình, 17% cơ quan được đánh giá triển khai ATTT
ở mức khá và 13% cơ quan dừng ở mức D tức là mới bắt đầu quan tâm đến
ATTT. Việc dữ liệu quan trọng của tổ chức bị đánh cắp diễn ra thường xuyên và
trong thời gian ngắn, những sự cố này chỉ được phát hiện ra sau vài tháng thậm
chí vài năm sau. Như vậy việc bị đánh cắp dữ liệu quan trọng xảy ra rất nhanh
và lại mất một thời gian rất dài để phát hiện ra. Kết quả thống kê này cho thấy
tầm quan trọng cần phải có một hệ thống ứng phó an ninh hiệu quả, trong đó
giám sát và ứng phó đóng vai trị cốt yếu.
2. Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC
Ngày nay, hoạt động tội phạm trên không gian mạng ngày càng gia tăng
về số vụ, thủ đoạn tấn công rất tinh vi gây thiệt hại nghiêm trọng về kinh tế, ảnh
hưởng tới văn hóa, xã hội tuy nhiên hệ thống bảo mật thông tin lại chưa được
đầu tư bài bản, chưa có phương án hay giải pháp cụ thể để phòng ngừa, cảnh báo
sớm các cuộc tấn công mạng. Do vậy, giải pháp về Trung tâm điều hành an tồn
thơng tin là hệ thống cần thiết, hỗ trợ tích cực cho các tổ chức, doanh nghiệp
trong việc giám sát và nâng cao trạng thái an ninh hệ thống mạng của mình, sẵn
sàng phản ứng với các sự cố có thể xảy ra.
Trong những năm gần đây, khi tần suất các cuộc tấn công mạng trên thế
giới nói chung và ở Việt Nam nói riêng gia tăng ngày càng nhiều, mức độ
nghiêm trọng và tinh vi ngày càng cao, các biện pháp đảm bảo ATTT cũng được
các tổ chức, đơn vị chú ý và đầu tư bài bản hơn trước. Thay vì các giải pháp độc
lập, chuyên biệt chỉ xử lý được một khía cạnh của cuộc tấn công, các cơ quan, tổ
chức bị thuyết phục bởi các giải pháp tổng thể, đa tầng, nhiều lớp nhằm phát
hiện và giải quyết triệt để các mối nguy hại chưa từng có tiền lệ. Trung tâm điều
hành an tồn thơng tin SOC chính là một giải pháp tổng thể để theo dõi, giám sát
và phân tích các mối đe dọa đối với hệ thống mạng.
7
Bộ TT&TT công bố xếp hạng an tồn thơng tin mạng của các cơ quan, tổ chức nhà nước năm 2018,
/>
3. Trung tâm điều hành ATTT SOC
1. Khái niệm trung tâm điều hành ATTT SOC
Trung tâm điều hành ATTT SOC là nơi đội bảo mật thông tin chịu trách
nhiệm theo dõi và phân tích tư thế bảo mật của tổ chức một cách liên tục. Nhiệm
vụ của trung tâm là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng
bằng cách sử dụng kết hợp giữa con người, các giải pháp công nghệ và một bộ
quy trình mạnh mẽ. SOC hoạt động giám sát và phân tích hoạt động bảo mật
trên mạng, máy chủ, thiết bị đầu cuối, cơ sở dữ liệu, ứng dụng, trang web và các
hệ thống khác nhằm tìm kiếm các hoạt động bất thường có thể là dấu hiệu của
sự cố bảo mật hoặc xâm nhập trái phép. Trung tâm điều hành ATTT có trách
nhiệm đảm bảo rằng các sự cố về an ninh mạng tiềm ẩn ln được xác định,
phân tích, bảo vệ, điều tra và báo cáo một cách chính xác.
2. Nguyên lý hoạt động của Trung tâm điều hành ATTT SOC
Hình 1. Nguyên lý hoạt động của SOC
