1. Tấn công Brute Force

Chuẩn bị 2 máy ubuntu 20.04, 1 máy win 10 cùng card mạng NAT

• 1 Máy Ubuntu: cài splunk enterprise. IP: 10.130.10.5
• 1 Máy win10 cài splunk forwarder UF. IP: 10.130.10.7
• 1 Máy Ubuntu làm attacker

Sử dụng công cụ tấn công Hydra

Tạo file chứa 20 mật khẩu ngẫu nhiên. Cài pwgen

tạo 20 mật khẩu, mỗi mật khẩu dài 8 ký tự và lưu vào file passwords.txt:

ping thử đến máy win 10 kiểm tra kết nối, dùng hydra Brute force vào win10

Đảm bảo máy Windows 10 ghi lại log đăng nhập thất bại (Event ID 4625) trong Windows Security Logs

sử dụng Search & Reporting để tạo query phát hiện các lần đăng nhập thất bại lặp lại, tạo rule cảnh báo

cấu hình, tạo alert theo thời gian thực

Kết quả

2. Phân tích log Sysmon

Cài đặt và cấu hình Sysmon

Truy cập Microsoft Sysinternals và tải file Sysmon.zip

Giải nén file vào một thư mục, ví dụ: C:\SysinternalsSuite

Tải file cấu hình mẫu Sysmon từ SwiftOnSecurity/sysmon-config, Lưu file sysmonconfig-export.xml vào cùng thư mục với Sysmon

Mở Command Prompt hoặc PowerShell với quyền Administrator. Điều hướng đến thư mục chứa Sysmon, chạy lệnh sau để cài đặt Sysmon với file cấu hình:

• accepteula: Tự động chấp nhận EULA.
• i: Cài đặt Sysmon.
• n: Bật giám sát kết nối mạng (network connections).
• sysmonconfig-export.xml: File cấu hình của SwiftOnSecurity.

Kiểm tra Sysmon:

Event Viewer => Applications and Services Logs => Microsoft => Windows => cuộn xuống và tìm thư mục Sysmon

Nhấp vào Operational để xem các log liên quan đến Sysmon

Kiểm tra các Event ID phổ biến

=> Event ID 1: Process Creation – Ghi lại khi một tiến trình (process) được tạo. Thông tin bao gồm tên tiến trình, đường dẫn, và ID tiến trình.

=> Event ID 22: DNS Queries – Ghi lại các truy vấn DNS

=> Event ID 11: File Creation – Ghi lại khi tệp được tạo

Nhấp đúp vào một sự kiện để xem chi tiết. Các thông tin như thời gian xảy ra, tên tiến trình, hoặc thông tin mạng sẽ được hiển thị trong tab General hoặc Details.

Cấu hình Splunk Universal Forwarder để thu thập log Sysmon

Điều hướng đến thư mục cài đặt của Splunk Universal Forwarder. Tạo hoặc hỉnh sửa file input.conf:

Khởi động lại Splunk Universal Forwarder:

tạo index winsysmon trên Splunk server: Settings > Indexes, nhấn New Index, Đặt tên index là winsysmon (chính xác như trong inputs.conf) sau đó Save

Kiểm tra log trong Splunk, truy cập Splunk Web, vào Search & Reporting, tìm winsysmon, như trong ảnh là đã thu được log sysmon

Phân tích log Sysmon

index=winsysmon EventCode=1 | table time, Computer, ProcessId, Image, CommandLine, ParentProcessId, ParentImage

=> Truy vấn này liệt kê các tiến trình được tạo, bao gồm thông tin về tiến trình cha (parent process), giúp phát hiện các tiến trình bất thường

index=winsysmon EventCode=3 | table time, Computer, SourceIp, SourcePort, DestinationIp, DestinationPort, Image

=> Truy vấn này hiển thị các kết nối mạng, bao gồm IP nguồn, đích và tiến trình khởi tạo kết nối, hữu ích để phát hiện các kết nối đáng ngờ

index=winsysmon EventCode=11 | table time, Computer, TargetFilename, ProcessId, Image

=> Truy vấn này cho biết các file được tạo, hữu ích để phát hiện ransomware hoặc các hoạt động ghi file bất thường