SOC căn bản — Phần 2: Log là nguyên liệu

Không có log thì không có gì để giám sát. Phần này nói về log — thứ SOC “ăn” mỗi ngày.

Các nguồn log quan trọng

  • Endpoint — Windows Event Log, Sysmon, EDR.
  • Network — firewall, proxy, DNS, IDS/IPS.
  • Xác thực & ứng dụng — VPN, AD, web server.

Đọc một dòng log

Ví dụ một dòng log xác thực:

2026-07-03T09:12:01Z host=web01 user=admin action=login result=fail src=203.0.113.5

Nếu result=fail lặp lại nhiều lần trong thời gian ngắn từ cùng một src, rất có thể đó là dấu hiệu brute-force.

Phần 3: biến những dòng log này thành cảnh báo thực sự hữu ích.

← Về trang chủ