SOC căn bản — Phần 3: Từ log tới cảnh báo
Có log rồi, làm sao biến chúng thành cảnh báo (alert) đáng để analyst xem?
Detection rule đơn giản
Quy tắc ví dụ: “5 lần đăng nhập thất bại trong 1 phút từ cùng một IP” → sinh cảnh báo nghi ngờ brute-force.
Giảm false positive
Cảnh báo nhiều mà sai thì analyst sẽ “mù cảnh báo”. Vài cách giảm nhiễu:
- Whitelist IP/tài khoản nội bộ hợp lệ.
- Chọn ngưỡng (threshold) hợp lý theo môi trường thực tế.
- Bổ sung ngữ cảnh: threat intel, mức độ quan trọng của tài sản.
Đó là kết thúc loạt SOC căn bản. Cảm ơn bạn đã theo dõi!