Microsoft Defender XDR: điều tra tấn công end-to-end từ một màn hình duy nhất

Chào các bạn!

Ở 4 bài trước, mình đã xây từng lớp bảo vệ riêng biệt: Identity (bài 1-3) và Endpoint (bài 4). Nhưng attacker không tấn công theo từng lớp – họ kết hợp nhiều vector cùng lúc.

Một cuộc tấn công thực tế thường trông như thế này: phishing email → user click → credential bị đánh cắp → attacker đăng nhập từ IP lạ → tạo forwarding rule để forward email ra ngoài → âm thầm đọc thông tin nhạy cảm trong nhiều tuần.

Nếu bạn dùng từng tool riêng lẻ: Defender for Office 365 thấy email độc hại, Entra ID Protection thấy sign-in bất thường, Defender for Cloud Apps thấy forwarding rule bất thường – nhưng 3 alert nằm ở 3 nơi khác nhau, không ai nhìn thấy bức tranh toàn cảnh.

Microsoft Defender XDR giải quyết đúng vấn đề này: tự động tương quan tất cả signal từ Identity, Endpoint, Email, Cloud Apps – và gộp thành một incident duy nhất với đầy đủ attack story từ điểm đầu đến điểm cuối.

Bài này mình sẽ hướng dẫn bật XDR, kết nối các nguồn dữ liệu, và quan trọng nhất – đi qua một incident thực tế từ lúc phát hiện đến lúc remediation.

Kiến trúc Microsoft Defender XDR

Microsoft Defender XDR là tên gọi chung cho nền tảng tích hợp tại security.microsoft.com, kết hợp:

Sản phẩm	Bảo vệ	Tín hiệu cung cấp
Defender for Endpoint	Thiết bị	File, process, network, registry activity
Defender for Office 365	Email & collaboration	Phishing, malware, malicious links
Defender for Identity	On-prem Active Directory	Lateral movement, pass-the-hash, DCSync
Defender for Cloud Apps	SaaS apps (365, Salesforce…)	Impossible travel, mass download, forwarding rules
Entra ID Protection	Identity cloud	Risky sign-ins, compromised credentials
Microsoft Sentinel	SIEM (các bài sau)	Custom correlation từ mọi nguồn

XDR engine tự động tương quan các alert từ tất cả nguồn trên, nhóm chúng lại thành incident với đầy đủ attack graph, timeline, và danh sách entities bị ảnh hưởng.

Điều kiện cần

Yêu cầu	Chi tiết
License cơ bản	Microsoft 365 E3 + Defender for Office 365 Plan 1, hoặc Microsoft 365 Business Premium
License đầy đủ	Microsoft 365 E5 (bao gồm tất cả Defender products)
Defender for Endpoint	Đã onboard — xem bài 4
Quyền truy cập	Security Operator hoặc Security Reader để xem; Security Administrator để thực hiện response actions

Mẹo cho tenant demo: Microsoft cung cấp Microsoft Defender XDR attack simulations miễn phí trong tenant – bài này sẽ dùng tính năng này để tạo incident thực tế mà không cần đợi tấn công thật.

Bước 1: Kết nối tất cả nguồn dữ liệu

Defender XDR hoạt động tốt nhất khi đủ nguồn dữ liệu. Kiểm tra từng nguồn đã được bật chưa.

Bật Defender for Office 365

1. Vào Defender portal → Settings → Email & collaboration → Policies & rules → Threat policies
2. Bật Safe Links và Safe Attachments với cấu hình:
   • Safe Links: bật cho email messages và Microsoft Teams
   • Safe Attachments: chọn policy Block – file đính kèm đáng ngờ bị giữ lại, không đến inbox

Bật Defender for Identity (nếu có AD on-prem)

Nếu doanh nghiệp có Active Directory on-prem:

1. Vào Defender portal → Settings → Identities
2. Tạo workspace và cài Defender for Identity sensor lên Domain Controller
3. Sensor tự động gửi AD events lên cloud – không cần cấu hình thêm

Bật Defender for Cloud Apps

1. Vào Defender portal → Settings → Cloud Apps
2. Connected apps → App connectors → bật connector cho Microsoft 365
3. Bật Conditional Access App Control cho các app quan trọng

Kiểm tra tổng quan

Vào Defender portal → Assets → Identities / Devices / Emails – xem số lượng entities đã được monitor. Nếu cả 3 đều có dữ liệu thì XDR đang nhận đủ tín hiệu.

Bước 2: Tạo attack simulation để có incident thực tế

Thay vì đợi tấn công thật, Microsoft cung cấp Attack Simulation Training để tạo phishing simulation trong tenant.

1. Vào Defender portal → Email & collaboration → Attack simulation training
2. Tab Simulations → + Launch a simulation
3. Chọn technique: Credential Harvest (lấy cắp mật khẩu qua trang web giả)
4. Đặt tên: Test - Credential Harvest Simulation
5. Chọn payload: chọn một template phishing có sẵn (ví dụ: giả mạo thông báo Microsoft 365)
6. Target users: chọn 2-3 user test trong tenant
7. Launch simulation

Sau khi simulation chạy, Defender sẽ tạo các alert và (tùy mức độ) gộp thành incident. Nếu muốn incident phức tạp hơn, dùng Defender XDR evaluation mode để kích hoạt pre-built attack scenarios.

Kích hoạt evaluation mode (tùy chọn – tạo incident giả lập đầy đủ hơn)

1. Vào Defender portal → Trials (hoặc tìm “Evaluation”)
2. Bật Microsoft Defender XDR evaluation
3. Chọn Automated attack simulations → bật
4. Hệ thống tự tạo các incident mô phỏng tấn công thực tế trong vài giờ

Bước 3: Làm quen với Incident Queue

1. Vào Defender portal → Incidents & alerts → Incidents

Mỗi incident trong queue hiển thị:

• Severity: Informational / Low / Medium / High / Critical
• Incident name: XDR tự đặt tên dựa trên loại tấn công
• Alerts: số alert đã được gộp vào incident này
• Entities: số entities bị ảnh hưởng (users, devices, mailboxes, IPs)
• Status: Active / In progress / Resolved
• Assigned to: ai đang phụ trách

Bộ lọc quan trọng cần biết

Thay vì nhìn tất cả incidents, filter để tập trung vào những gì cần xử lý:

• Severity: High + Critical trước
• Status: Active (chưa xử lý)
• Service sources: chọn nguồn cụ thể nếu muốn focus

Bước 4: Giải phẫu một incident – đi theo attack story

Click vào một incident trong queue để xem chi tiết. Đây là phần quan trọng nhất của bài.

4a. Tab Attack story

Tab đầu tiên – Attack story – là trái tim của XDR investigation.

Bạn sẽ thấy một graph tương tác (attack graph) hiển thị toàn bộ chuỗi tấn công:

Mỗi node trong graph là một entity (user, device, file, IP, mailbox). Click vào node để xem chi tiết entity đó.

4b. Đọc timeline

Bên dưới graph là timeline — sắp xếp tất cả events theo thứ tự thời gian:

09:14  Phishing email delivered to user@contoso.com
09:27  User clicked URL in email
09:28  Credential input detected on fake login page
09:31  Sign-in from IP 185.220.x.x (Tor exit node) - HIGH RISK
09:33  New inbox rule created: "Forward all to external@gmail.com"
09:35  Entra ID Protection: User risk elevated to HIGH


Đây là thứ mà không có XDR bạn phải tự tổng hợp từ 4-5 tool khác nhau - XDR làm điều này tự động.

4c. Tab Alerts

Xem từng alert riêng lẻ đã được gộp vào incident này. Mỗi alert đến từ một nguồn khác nhau:

• Phishing email detected – từ Defender for Office 365
• Risky sign-in detected – từ Entra ID Protection
• Suspicious mailbox rule created – từ Defender for Cloud Apps
• Malicious file execution – từ Defender for Endpoint (nếu user download file)

4d. Tab Entities

Liệt kê tất cả entities liên quan đến incident:

• Users: tài khoản nào bị ảnh hưởng, risk level hiện tại
• Devices: thiết bị nào liên quan
• Mailboxes: mailbox nào có rule bất thường
• IPs: địa chỉ IP của attacker
• URLs: link phishing đã được click
• Files: file độc hại (nếu có)

Bước 5: Response actions – xử lý incident

Sau khi hiểu attack story, đến bước quan trọng nhất: ngăn chặn thiệt hại tiếp tục xảy ra.

XDR cung cấp response actions trực tiếp từ trong incident, không cần mở từng tool riêng lẻ.

Actions cho user bị compromise

Click vào user entity → Actions:

Action	Khi nào dùng
Reset password	Ngay lập tức khi xác nhận credential bị đánh cắp
Disable user	Khi cần block hoàn toàn, ví dụ tài khoản đang bị dùng để tấn công
Revoke all sessions	Kick attacker ra khỏi tất cả sessions đang active
Confirm user as compromised	Báo cho Entra ID Protection biết — tự động trigger risk remediation
Dismiss user risk	Sau khi xử lý xong, đánh dấu risk đã được giải quyết

Thứ tự xử lý khuyên dùng:

1. Revoke all sessions – kick attacker ra ngay lập tức
2. Reset password – đổi mật khẩu để attacker không vào lại được
3. Kiểm tra và xóa mailbox forwarding rules bất thường
4. Confirm user as compromised để Entra ID Protection ghi nhận

Actions cho thiết bị bị ảnh hưởng

Click vào device entity → Actions:

Action	Khi nào dùng
Isolate device	Khi thiết bị đang chạy malware — cách ly khỏi network, chỉ giữ kết nối với Defender portal
Run antivirus scan	Trigger full scan ngay lập tức
Collect investigation package	Lấy forensics data (event logs, prefetch, memory dump)
Restrict app execution	Chỉ cho phép chạy app có chữ ký Microsoft
Initiate live response	Mở shell trực tiếp vào thiết bị để điều tra thủ công

Lưu ý Isolate device: Sau khi isolate, thiết bị không truy cập được internet và mạng nội bộ – chỉ kết nối với Defender portal. User sẽ thấy thông báo máy bị cách ly. Dùng action này khi chắc chắn thiết bị đang bị compromise, không dùng như biện pháp phòng ngừa.

Xóa mailbox forwarding rule

1. Vào Defender portal → Incidents → tab Evidence → tìm rule bất thường
2. Hoặc trực tiếp vào Exchange admin center → Recipients → Mailboxes → chọn user → Manage email apps → Inbox rules
3. Xóa rule forward email ra ngoài

Bước 6: Automated Investigation and Remediation (AIR)

Với các alert mức thấp và trung bình, XDR có thể tự động điều tra và xử lý mà không cần SOC analyst can thiệp.

Cấu hình automation level

1. Vào Defender portal → Settings → Endpoints → Advanced features → Automation level
2. Chọn mức phù hợp:

Mức	Hành vi
No automated response	Chỉ thu thập dữ liệu, không làm gì tự động
Semi — require approval	Tự điều tra, nhưng cần approval trước khi remediate
Full — remediate automatically	Tự điều tra và remediate hoàn toàn cho threats đã được xác nhận

Với tenant đang ở giai đoạn đầu, mình khuyên dùng Semi – require approval trước. Sau khi team SOC quen với cách AIR hoạt động thì mới chuyển sang Full.

Xem kết quả automated investigation

1. Vào Defender portal → Actions & submissions → Action center
2. Tab Pending – các actions đang chờ approval
3. Tab History – các actions đã được thực hiện tự động

Mỗi automated action có:

• Mô tả AIR phát hiện gì
• Action nó muốn thực hiện (quarantine file, block IP, disable user…)
• Evidence đính kèm để bạn quyết định approve hay reject

Bước 7: Threat analytics — nắm bắt mối đe dọa đang hoạt động

Threat analytics là dashboard cập nhật liên tục từ đội nghiên cứu bảo mật Microsoft, cho biết threat nào đang active và môi trường của bạn đang bị ảnh hưởng ở mức nào.

1. Vào Defender portal → Threat intelligence → Threat analytics

Mỗi threat report bao gồm:

• Overview: mô tả threat actor, technique, mục tiêu
• Analyst insights: nhận định từ Microsoft security researchers
• Impacted assets: thiết bị và users trong tenant của bạn có liên quan
• Recommended actions: việc cần làm để giảm exposure

Đây là thứ mình check mỗi sáng – nếu có threat mới mà tenant của mình đang có exposure cao, ưu tiên xử lý ngay.

Bước 8: Custom detection rules

XDR cho phép tạo custom detection rules – khi điều kiện được thỏa mãn trong dữ liệu, tự động tạo alert hoặc thực hiện action.

Ví dụ: tạo rule phát hiện khi có user tạo forwarding rule trong mailbox.

1. Vào Defender portal → Hunting → Custom detection rules → + Create
2. Tên rule: Detect new mailbox forwarding rules
3. Query (KQL):

CloudAppEvents
| where ActionType == "New-InboxRule"
| where RawEventData has "ForwardTo" or RawEventData has "RedirectTo"
| project Timestamp, AccountDisplayName, AccountUpn, RawEventData

4. Alert details:
   • Severity: Medium
   • Category: Collection (MITRE ATT&CK)
5. Actions: Tạo alert tự động mỗi khi query có kết quả
6. Run frequency: Every hour

KQL (Kusto Query Language) sẽ được đào sâu hơn ở bài 6. Bài này chỉ cần hiểu rằng bạn có thể viết logic detection tùy chỉnh bên trên dữ liệu của XDR.

Bước 9: Đóng incident và ghi chú

Sau khi xử lý xong, quan trọng là đóng incident đúng cách – không phải chỉ click Resolved.

1. Trong incident → Manage incident
2. Status: Resolved
3. Classification:
   • True positive – malicious activity (tấn công thật)
   • True positive – security testing (pentesting có authorize)
   • False positive – incorrect alert logic
   • Informational – không nguy hiểm
4. Determination: chọn loại tấn công cụ thể
5. Comment: ghi lại những gì đã làm, tại sao quyết định như vậy

Những thông tin này được dùng để cải thiện AI detection của Microsoft – false positive được report sẽ giúp giảm noise cho toàn bộ tenant.

Tổng kết những gì đã làm

Sau bài này, bạn đã biết:

• Kết nối tất cả Defender products vào một portal duy nhất
• Đọc incident từ attack graph, timeline, đến từng alert và entity
• Response actions xử lý threat ngay trong portal – revoke session, reset password, isolate device
• AIR tự động xử lý alerts mức thấp để SOC tập trung vào High/Critical
• Threat analytics để nắm bắt mối đe dọa đang active
• Custom detection viết logic phát hiện riêng bổ sung cho built-in rules

Tài liệu tham khảo

• Microsoft Defender XDR overview
• Incident response with Microsoft Defender XDR
• Automated investigation and response
• Threat analytics in Microsoft Defender XDR
• Custom detections overview

---

Bài viết có gì chưa rõ hoặc bạn gặp lỗi ở bước nào, cứ để lại comment bên dưới – mình sẽ cập nhật bài.

Long Trần | khongkho.com