Blog

Cách xóa các thiết bị không sử dụng khỏi Sophos Central

Số lượng thiết bị được quản lý trong Sophos Central của bạn sẽ tăng theo thời gian và khi doanh nghiệp của bạn phát triển, một số thiết bị có thể không còn hoạt động mà bạn không hề hay biết.

Điều này có thể do vô số lý do. Thiết bị có thể đã ngừng hoạt động. Nó được thiết lập như một máy thử nghiệm nhanh. Hoặc người dùng đã rời khỏi công ty. Danh sách cứ kéo dài. Dù lý do là gì, bạn có thể đã có sẵn một quy trình để xử lý các thiết bị đó, nhưng vẫn có thể nó đang nằm im lìm trong Sophos Central.

Hiện tại Sophos Central Active Directory (AD) Sync Utility của Sophos hỗ trợ đồng bộ hóa người dùng và nhóm người dùng AD, nhưng không phải thiết bị và nhóm thiết bị. Điều này có nghĩa là hiện tại không có phương thức riêng để tự động xóa các thiết bị cũ khỏi Sophos Central. Nếu có nhiều thiết bị cần xóa, chúng ta không muốn xóa chúng theo cách thủ công thông qua UI của Sophos Central.

Có hai lựa chọn. Đầu tiên là một quá trình thủ công bằng cách sử dụng API Sophos Central để thu thập thông tin thiết bị và tham chiếu chéo các thiết bị đó theo cách thủ công đối với nguồn thiết bị của bạn. Bạn có thể tạo tập lệnh sẽ xóa các thiết bị bằng API Sophos Central.

Tùy chọn thứ hai vẫn sử dụng API trung tâm Sophos để thu thập thông tin thiết bị, nhưng với lợi ích bổ sung là sử dụng công cụ Event Management (SIEM) và Security Automation và Orchestration (SOAR) để tự động hóa từ đầu đến cuối.

Đối với tùy chọn thứ hai, chúng ta cần trả lời một vài câu hỏi:

  • Cần thu thập dữ liệu nào để giúp xác định xem có thể xóa thiết bị không?
  • Điều gì xảy ra nếu một máy đang hoạt động bị xóa tự động?
  • Có công cụ gì để hỗ trợ quá trình này?

Để trả lời những câu hỏi này và có cái nhìn tổng quan nhanh, dưới đây là sơ đồ quy trình.

Dữ liệu nào là cần thiết?

Đầu tiên và quan trọng nhất, bạn cần một nguồn sự thật cho các thiết bị và đối với hầu hết các tổ chức đó là AD. Bạn sẽ cần theo dõi những thay đổi mới nhất trong OU bị vô hiệu hóa hoặc vị trí tương tự tùy thuộc vào cách tổ chức của bạn quản lý các thiết bị. Các trường quan trọng từ nguồn dữ liệu này là:

  • Tên máy chủ
  • Miền
  • Tên phân biệt
  • Hệ điều hành
  • Operating System Build Number

Bạn cũng cần thiết lập các thiết bị hiện tại trong Sophos Central. Bạn có thể thu thập danh sách kiểm kê các thiết bị bằng API Sophos Central.

Các trường chính từ dữ liệu cho quá trình này là:

  • hostname
  • id
  • lastSeenAt
  • os
  • name
  • build
  • type
  • associatedPerson
  • name
  • viaLogin
  • tenant
  • id

Cùng nhau, những điều này sẽ tạo thành một cơ sở vững chắc để giúp xác định hệ thống nào là ứng cử viên tiềm năng để xóa.

Làm thế nào có thể xác nhận dữ liệu AD và Central?

Dữ liệu được tương quan bằng cách sử dụng tên máy chủ và tên miền của thiết bị. Khi hai nguồn dữ liệu tương quan với nhau, bạn cần thiết lập một số so sánh trước khi chuyển dữ liệu sang công cụ SOAR để xử lý để đảm bảo có một số logic để xử lý các sự kiện.

Những câu hỏi đòi hỏi logic để trả lời?

Mục tiêu của bạn cho quá trình này là loại bỏ các thiết bị khỏi Sophos Central không còn hoạt động. Để đạt được điều này mà không xóa các thiết bị hợp lệ, cần nghĩ đến các tình huống có thể xảy ra khi chúng ta không muốn xóa một thiết bị.

Xác định thời gian không hoạt động của thiết bị:

Mục đích của việc này là cho phép một khoảng thời gian không hoạt động hợp lý cho một hệ thống trong OU bị vô hiệu hóa. Bằng cách chỉ trả lại các thiết bị đó không hoạt động trong một khoảng thời gian nhất định, chúng tôi sẽ ít có khả năng xóa một thiết bị có thể không cần phải xóa khỏi Sophos Central.

  • Chuyển đổi trường LastSeenAt sang thời gian epoch Unix bằng cách sử dụng strptime, định dạng lastSeenAt là: 2019-09-23T12: 02: 01.700Z.
  • Tính toán số ngày kể từ khi thiết bị được nhìn thấy lần cuối: (Now () Unix epoch – LastSeenAt Unix epoch) / 86400.

Xác thực xem hệ điều hành có khớp hay không:

Có thể xảy ra trường hợp tên máy chủ và tên miền khớp với một hệ thống trong kho lưu trữ mà hệ điều hành không khớp. Trong trường hợp này, thiết bị này nên đặt cờ để can thiệp thủ công để tránh lỗi. Phương pháp tốt nhất là so sánh hệ điều hành của thiết bị với dữ liệu từ Sophos Central.

Tự động hóa

Bây giờ bạn có một số hệ thống được xác định trong dữ liệu có thể bị xóa khỏi Sophos Central. Sử dụng nền tảng SOAR sẽ cho phép bạn vượt qua từng sự kiện thông qua quy trình xử lý để xác định điều gì sẽ xảy ra với thiết bị.

Bằng cách kiểm tra dữ liệu có từ SIEM của bạn so với dữ liệu Sophos Central Endpoint API, có thể xác thực lần cuối rằng thiết bị thực sự không hoạt động và có thể bị xóa.

Ngoài khía cạnh tự động hóa của việc xóa các thiết bị, bạn cũng cần thực hiện một số kiểm toán và có thể bao gồm một số tình huống để thực thi can thiệp thủ công trước khi xóa có thể được cho phép.

Giám sát thiết bị VIP:

Để tránh việc vô tình xóa các thiết bị cho người dùng VIP, bạn nên gắn cờ các thiết bị này để can thiệp thủ công để xác minh xem thiết bị có thể bị xóa khỏi Sophos Central hay không. Một khả năng là sử dụng một nhóm AD người dùng cụ thể để xác định những người dùng này là ai.

Thiết bị hoạt động:

Sau khi so sánh hoạt động cuối cùng của máy với dữ liệu từ SIEM và dữ liệu thu được thông qua truy vấn trực tiếp của Sophos Central API, nó đã tính toán rằng thiết bị đã báo cáo lại vào Sophos Central gần đây. Những máy này nên được xác nhận thủ công trước khi chúng bị xóa.

Tránh xử lý trùng lặp:

Ghi nhật ký thiết bị nào đã bị xóa cho phép kiểm tra và loại trừ các hệ thống này khi đối chiếu thông tin khi bắt đầu quá trình.

Theo dõi xóa thất bại:

Bạn cũng nên đánh dấu các lỗi không thể xóa hoặc xác minh thông tin thiết bị để có thể áp dụng can thiệp thủ công cho những điều này.

Một thiết bị đang hoạt động đã bị xóa

Trong trường hợp thiết bị bị xóa không chính xác, cần thực hiện các bước sau để bảo vệ endpoint:

  • Nếu máy chủ không cài đặt Sophos Endpoint Protection, chỉ cần tải xuống trình cài đặt mới nhất từ ​​Sophos Central và cài đặt nó vào endpoint.
  • Nếu endpoint đã được cài đặt Sophos Endpoint Protection và Tamper Protection không được bật, trước tiên hãy gỡ cài đặt Sophos Endpoint Protection và cài đặt bằng trình cài đặt mới nhất.
  • Nếu Sophos Endpoint Protection được cài đặt và Tamper Protection được bật, vui lòng làm theo các bước dưới đây:
  • Đăng nhập vào người sở hữu của Sophos Central:
  • https://cloud.sophos.com/manage/login
  • Truy cập: Logs & Reports > Endpoint & Server Protection > Recover Tamper Protection passwords (Mật khẩu sẽ được giữ trong báo cáo này trong 60 ngày sau khi xóa).
  • Tìm kiếm tên máy chủ và nhấp vào View details, để xem Tamper Protection password mới nhất đang hoạt động trên máy trước khi xóa.
  • Mở Sophos Endpoint Protection UI trên thiết bị
  • Nhấp vào ‘Admin login’ và nhập Tamper Protection Password
  • Chọn ‘Settings’ and tick chọn ô Override Sophos Central Policy trong tối đa 4 giờ để khắc phục sự cố.
  • Trong ‘Control on Users’ tắt Tamper Protection
  • Gỡ cài đặt Sophos Endpoint Protection
  • Cài đặt lại Sophos Endpoint Protection với trình cài đặt mới nhất

Một số lưu ý:

  • Xác thực xem mỗi thiết bị có đáp ứng kết quả mong đợi hay không trước khi cam kết xóa.
  • Hãy xóa từng thiết bị riêng lẻ. Điều này sẽ cho phép thời gian để tinh chỉnh thêm quá trình và tìm thêm bất kỳ vấn đề nào.
  • Hãy liên hệ với quản trị viên AD và các nhóm dịch vụ để nhận phản hồi. Họ có thể cung cấp cái nhìn có giá trị cho quá trình và có thể làm nổi bật một điểm quan trọng có thể đã bị bỏ qua.

Quá trình loại bỏ sự lộn xộn của các thiết bị không sử dụng trong Sophos Central là vô giá. Nó cũng giúp quản trị viên Central có thời gian quay lại tập trung vào các nhiệm vụ khác, thông thường sẽ được thực hiện với một quy trình thủ công kiểm tra và xóa các thiết bị cũ.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận