<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Endpoint Detection &amp; Response (EDR) &#8211; Thegioifirewall</title>
	<atom:link href="https://thegioifirewall.com/category/endpoint-detection-response-edr/feed/" rel="self" type="application/rss+xml" />
	<link>https://thegioifirewall.com</link>
	<description>Tường lửa bảo vệ doanh nghiệp, trung tâm thông tin và giá cả</description>
	<lastBuildDate>Fri, 04 Aug 2023 04:04:34 +0000</lastBuildDate>
	<language>vi</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://thegioifirewall.com/wp-content/uploads/vacif_icon-150x150.png</url>
	<title>Endpoint Detection &amp; Response (EDR) &#8211; Thegioifirewall</title>
	<link>https://thegioifirewall.com</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Sophos Endpoint: Hướng dẫn cài đặt thêm XDR cho các Endpoint đang cài CIXA</title>
		<link>https://thegioifirewall.com/sophos-endpoint-huong-dan-cai-dat-them-xdr-cho-cac-endpoint-dang-cai-cixa/</link>
					<comments>https://thegioifirewall.com/sophos-endpoint-huong-dan-cai-dat-them-xdr-cho-cac-endpoint-dang-cai-cixa/#respond</comments>
		
		<dc:creator><![CDATA[Taika]]></dc:creator>
		<pubDate>Fri, 04 Aug 2023 04:04:33 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos Endpoint]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=17651</guid>

					<description><![CDATA[Tổng quan Hướng dẫn thực hiện]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>Tổng quan</strong></p>



<ul class="wp-block-list">
<li>Khi bạn muốn nâng cấp từ license Antivirus Sophos Intercept X Advanced lên bản Sophos Intercept X Advanced with XDR</li>



<li>Nhưng hiện tại bạn đã cài Sophos CIXA cho các máy trạm</li>



<li>Bài viết sẽ hướng dẫn cách triển khai thêm gói XDR hàng loạt xuống các máy đã được cài CIXA trước đó</li>
</ul>



<p class="wp-block-paragraph"><strong>Hướng dẫn thực hiện</strong></p>



<ul class="wp-block-list">
<li>Đăng nhập vào tài khoản <strong>Sophos Central</strong></li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter size-large"><img decoding="async" src="https://assets.vacif.com/2023/08/image-40-1024x508.png" alt="" class="wp-image-7452"/></figure>
</div>


<ul class="wp-block-list">
<li>Chọn mục <strong>Devices</strong></li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter size-large"><img decoding="async" src="https://assets.vacif.com/2023/08/image-42-1024x508.png" alt="" class="wp-image-7454"/></figure>
</div>


<ul class="wp-block-list">
<li>Tick chọn những máy tính mà bạn muốn cài thêm XDR</li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter size-large"><img decoding="async" src="https://assets.vacif.com/2023/08/image-43-1024x586.png" alt="" class="wp-image-7455"/></figure>
</div>


<ul class="wp-block-list">
<li>Chọn <strong>Manage Endpoint Software</strong></li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter size-large"><img decoding="async" src="https://assets.vacif.com/2023/08/image-44-1024x509.png" alt="" class="wp-image-7456"/></figure>
</div>


<ul class="wp-block-list">
<li>Ở mục <strong>Protection</strong>: Chọn <strong>Intercept X Advanced with XDR</strong></li>



<li>Nhấn <strong>Save</strong></li>
</ul>



<figure class="wp-block-image size-large"><img decoding="async" src="https://assets.vacif.com/2023/08/image-46-1024x581.png" alt="" class="wp-image-7458"/></figure>



<ul class="wp-block-list">
<li>Sau đó gói XDR sẽ được tự động đẩy xuống các máy trạm</li>
</ul>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-endpoint-huong-dan-cai-dat-them-xdr-cho-cac-endpoint-dang-cai-cixa/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos Central Endpoint: Hướng dẫn troubleshoot các vấn đề về kết nối khi sử dụng Live Response.</title>
		<link>https://thegioifirewall.com/sophos-central-endpoint-huong-dan-troubleshoot-cac-van-de-ve-ket-noi-khi-su-dung-live-response/</link>
					<comments>https://thegioifirewall.com/sophos-central-endpoint-huong-dan-troubleshoot-cac-van-de-ve-ket-noi-khi-su-dung-live-response/#respond</comments>
		
		<dc:creator><![CDATA[John]]></dc:creator>
		<pubDate>Sun, 26 Jun 2022 14:05:01 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Live Response]]></category>
		<category><![CDATA[Sophos Central Endpoint]]></category>
		<category><![CDATA[troubleshoot live response]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=16379</guid>

					<description><![CDATA[1.Overview. Live Response là một công cụ khắc phục sự cố và săn tìm mối đe dọa được tích hợp trên Sophos Central. Nó cho phép các central administrators&#160;kết nối với các thiết bị endpoint và máy chủ do Sophos quản lý thông qua một phiên CMD terminal nâng cao và an toàn. Phiên được [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>1.Overview</strong>.</p>



<p class="wp-block-paragraph">Live Response là một công cụ khắc phục sự cố và săn tìm mối đe dọa được tích hợp trên Sophos Central. Nó cho phép các central administrators&nbsp;kết nối với các thiết bị endpoint và máy chủ do Sophos quản lý thông qua một phiên CMD terminal nâng cao và an toàn.</p>



<p class="wp-block-paragraph">Phiên được tạo thông qua central console là một phiên bản đầy đủ của CMD, bạn có thể thực hiện bất kỳ hành động nào mà CMD nâng cao có thể thực hiện cục bộ trên thiết bị endpoint.</p>



<p class="wp-block-paragraph">Central administrators có thể sử dụng phiên này để điều tra và khắc phục các sự cố bảo mật có thể xảy ra trong mạng công ty và có thể dừng các quy trình đáng ngờ, khởi động lại thiết bị, browse thư mục, xóa tệp, v.v.</p>



<p class="wp-block-paragraph">Trước khi có thể kết nối với các thiết bị endpoint thông qua Live Response, bạn sẽ phải đảm bảo rằng kết nối có thể được thiết lập trước. Bài viết này sẽ hướng dẫn cho bạn những gì có thể làm để thực hiện khắc phục sự cố kết nối từ Sophos Central console&nbsp;của bạn đến thiết bị thông qua Live Response.</p>



<p class="wp-block-paragraph"><strong>2.</strong> <strong>Các bước troubleshooting.</strong></p>



<p class="wp-block-paragraph"><strong>2.1 Kiểm tra trên Sophos Central.</strong></p>



<p class="wp-block-paragraph"><strong>*Kiểm tra các các đáp ứng cơ bản để sử dụng Live Response.</strong></p>



<p class="wp-block-paragraph">Live Response là một phiên trên mỗi thiết bị, bạn có thể bắt đầu một phiên bằng cách click chọn tên thiết bị bạn cần thiết lập phiên. Bạn có thể tìm thấy nút Live Response ở phía bên trái của trang. Theo mặc định, nút “Live Response” có màu xám. Để bắt đầu sử dụng Live Response, hãy đảm bảo các điều kiện sau được đáp ứng.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646348654482v1.png" alt=" "/></figure></div>



<p class="wp-block-paragraph"><strong>Bước 1: Đảm bảo tính năng Live Response đã được enable.</strong></p>



<p class="wp-block-paragraph">Bạn di chuyển đến phần <strong>Global Settings</strong> <strong>&gt; Enpoint Protection &gt; Live Response</strong>.</p>



<p class="wp-block-paragraph">Enable  “A<strong>llow Live Response connections to computers&#8221;</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646348764746v3.png" alt=" "/></figure></div>



<p class="wp-block-paragraph"><strong>Bước 2: Bạn cần có tài khoản với quyền Super Admin trên Sophos Central để thực hiện Live Response.</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646348851967v4.png" alt=" "/></figure></div>



<p class="wp-block-paragraph">Thông báo yêu cầu quyền Super Admin sẽ xuất hiện nếu bạn thực hiện Live Response với tài khoản không có quyền.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646348888885v5.png" alt=" "/></figure></div>



<p class="wp-block-paragraph">B<strong>ước 3: Đảm bảo thiết bị endpoint đang online.</strong></p>



<p class="wp-block-paragraph">Khi bạn click vào Live Response mà hiện thông báo &#8220;<strong>The device is not currently online</strong>&#8220;. Bạn sẽ cần kiểm tra lại thiết bị có đang bị tắt hay không.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646349114317v6.png" alt=" "/></figure></div>



<p class="wp-block-paragraph">Nếu bạn kiểm tra thấy thiết bị đã bật nhưng vẫn hiện thông báo Offline trên Central, bạn cần kiểm tra tiếp xem các dịch vụ Sophos MCS có đang chạy trên thiết bị hay không. Nếu thấy các service này chưa được start bạn có thể click start lại các service này.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646349224007v7.png" alt=" "/></figure></div>



<p class="wp-block-paragraph">Khi bạn đã đáp ứng được hết các điều kiện ở trên, bạn click chọn Live Response, một tab Live Response mới sẽ hiện ra.</p>



<div class="wp-block-image"><figure class="aligncenter size-full"><img fetchpriority="high" decoding="async" width="712" height="341" src="https://thegioifirewall.com/wp-content/uploads/image-4630.png" alt="" class="wp-image-16380" srcset="https://thegioifirewall.com/wp-content/uploads/image-4630.png 712w, https://thegioifirewall.com/wp-content/uploads/image-4630-300x144.png 300w" sizes="(max-width: 712px) 100vw, 712px" /></figure></div>



<p class="wp-block-paragraph"><strong>Lưu ý:</strong> Một số tiện ích bổ sung của trình duyệt có thể chặn cửa sổ tạo phiên của Live Response, nếu điều này xảy ra, hãy thêm loại trừ vào trang web hoặc tắt tiện ích bổ sung của trình duyệt khi cần kết nối.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646349469604v10.png" alt=" "/></figure></div>



<p class="wp-block-paragraph"><strong>2.2 Kiểm tra trên Endpoint.</strong> </p>



<p class="wp-block-paragraph">Khi bạn đã kiểm tra hết tất cả các yêu cầu đều đã đáp ứng trên Sophos Central, mà bạn vẫn không thể sử dụng Live Response, bạn cần kiểm tra lại trên thiết bị Endpoint.</p>



<p class="wp-block-paragraph"><strong>Bước 1: Đảm bảo Live Response được cài đặt thành công.</strong></p>



<p class="wp-block-paragraph">Bạn cần check lại các folder Live Response đã được cài trên Endpoint. Trên endpoint bạn đi đến ổ <strong>C:\Program Files\Sophos\Live Terminal</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646349507814v11.png" alt=" "/></figure></div>



<p class="wp-block-paragraph">Bạn kiểm tra trong Folder Live Terminal, cần có 6 file như hình dưới. Nếu không đủ các file này bạn cần thử uninstall và install lại sophos endpoint trên thiết bị. </p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646349549551v12.png" alt=" "/></figure></div>



<p class="wp-block-paragraph"><strong>Bước 2: Đảm bảo hai task Live Response đều đang chạy trên Task Manager.</strong></p>



<p class="wp-block-paragraph">Bạn mở Task Manager để kiểm tra, hai task đó là: <strong>Sophos-live-terminal.exe</strong>&nbsp;và&nbsp;<strong>Sophos-winpty-agent.exe.</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://community.sophos.com/resized-image/__size/640x480/__key/communityserver-discussions-components-files/266/pastedimage1646351303437v1.png" alt=" "/></figure></div>



<p class="wp-block-paragraph"><strong>Note:</strong> Nếu bạn đã thử kiểm tra và troubleshoot với các bước ở trên nhưng vẫn không thể sử dụng được Live Response bạn sẽ cần tạo Case Sophos support để được các chuyên gia của hãng hỗ trợ fix lỗi.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-central-endpoint-huong-dan-troubleshoot-cac-van-de-ve-ket-noi-khi-su-dung-live-response/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn query kiểm tra tất cả các máy trạm, máy chủ Windows cần reboot</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-cac-may-tram-may-chu-windows-can-reboot/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-cac-may-tram-may-chu-windows-can-reboot/#respond</comments>
		
		<dc:creator><![CDATA[Taika]]></dc:creator>
		<pubDate>Tue, 02 Nov 2021 07:50:02 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12984</guid>

					<description><![CDATA[Overview Sophos Extended Detection and Response (XDR)&#160; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>Overview</strong></p>



<p class="wp-block-paragraph">Sophos Extended Detection and Response (XDR)&nbsp; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất</p>



<p class="wp-block-paragraph">Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được tất cả máy trạm, máy chủ Windows cần reboot lại. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra</p>



<p class="wp-block-paragraph"><strong>Mô hình query</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3040.png" alt=""/></figure></div>



<p class="wp-block-paragraph"><strong>Hướng dẫn cấu hình</strong></p>



<p class="wp-block-paragraph"><strong>Bước 1: Tạo Custom Query</strong></p>



<ul class="wp-block-list"><li>Đăng nhập&nbsp;<strong>Sophos Central Admin</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Threat Analysis Center</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Live Discover</strong>&nbsp;-&gt; Bật&nbsp;<strong>Designer mode&nbsp;</strong>-&gt; Nhấn&nbsp;<strong>Create new query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3062-1024x487.png" alt=""/></figure></div>



<ul class="wp-block-list"><li>Đặt tên cho query của bạn</li><li>Ở mục&nbsp;<strong>Category</strong>: Chọn category mà bạn muốn lưu query vào</li><li>Ở mục&nbsp;<strong>Source</strong>: Chọn&nbsp;<strong>Live Endpoint</strong>&nbsp;và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -&gt; Tìm hiểu thêm trên Sophos Community”</li><li>Ở mục&nbsp;<strong>SQL</strong>: Nhập đoạn code query</li></ul>



<p class="wp-block-paragraph">WITH rebootRequired AS (SELECT<br>CASE<br>WHEN data LIKE &#8216;1&#8217; THEN &#8216;Yes&#8217;<br>ELSE &#8216;No&#8217;<br>END AS RebootRequired<br>FROM registry<br>WHERE path LIKE &#8216;HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\AutoUpdate\UpdateStatus\VolatileFlags\RebootRequired&#8217;),</p>



<p class="wp-block-paragraph">rebootRequiredDate AS (SELECT datetime(CAST(data AS unsigned_bigint)/1000,&#8217;unixepoch&#8217;,&#8217;localtime&#8217;) AS RequiredSince<br>FROM registry<br>WHERE path LIKE &#8216;HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\AutoUpdate\UpdateStatus\VolatileFlags\RebootRequiredSince&#8217;)</p>



<p class="wp-block-paragraph">SELECT RebootRequired,<br>CASE<br>WHEN RebootRequired = &#8216;No&#8217; THEN &#8216;n/a&#8217;<br>ELSE RequiredSince<br>END AS rebootRequiredDate<br>FROM rebootRequired JOIN rebootRequiredDate</p>



<ul class="wp-block-list"><li>Nhấn&nbsp;<strong>Save</strong></li></ul>



<p class="wp-block-paragraph"><strong>Bước 2: Thực hiện test query</strong></p>



<ul class="wp-block-list"><li>Chọn Query mà bạn đã tạo trước đó</li><li>Ở mục <strong>Device selector</strong>: Chọn các máy tính mà bạn muốn query</li><li>Nhấn <strong>Run Query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter size-large"><img decoding="async" width="1024" height="487" src="https://thegioifirewall.com/wp-content/uploads/image-3145-1024x487.png" alt="" class="wp-image-12985" srcset="https://thegioifirewall.com/wp-content/uploads/image-3145-1024x487.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3145-300x143.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3145-768x366.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3145-1536x731.png 1536w, https://thegioifirewall.com/wp-content/uploads/image-3145.png 1920w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure></div>



<p class="wp-block-paragraph"><strong>Bước 3: Kiểm tra kết quả</strong></p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-cac-may-tram-may-chu-windows-can-reboot/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn tạo Query để kiểm tra các ứng dụng đã được cài đặt trên máy chủ hoặc máy trạm trong khoảng thời gian xác định</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-tao-query-de-kiem-tra-cac-ung-dung-da-duoc-cai-dat-tren-may-chu-hoac-may-tram-trong-khoang-thoi-gian-xac-dinh/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-tao-query-de-kiem-tra-cac-ung-dung-da-duoc-cai-dat-tren-may-chu-hoac-may-tram-trong-khoang-thoi-gian-xac-dinh/#respond</comments>
		
		<dc:creator><![CDATA[TrungNghia]]></dc:creator>
		<pubDate>Sat, 30 Oct 2021 03:26:00 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<category><![CDATA[Sophos XDR: Hướng dẫn tạo Query để kiểm tra các ứng dụng đã được cài đặt trên máy chủ hoặc máy trạm trong khoảng thời gian xác định]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12961</guid>

					<description><![CDATA[1.Mục đích bài viết Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra các ứng dụng đã được cài đặt trên máy chủ hoặc máy trạm trong khoảng thời gian xác định. 2.Sơ đồ mạng Chi tiết sơ đồ mạng: Đường truyền internet được kết [&#8230;]]]></description>
										<content:encoded><![CDATA[
<h2 class="wp-block-heading"><strong>1.Mục đích bài viết</strong></h2>



<p class="wp-block-paragraph">Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra các ứng dụng đã được cài đặt trên máy chủ hoặc máy trạm trong khoảng thời gian xác định.</p>



<h2 class="wp-block-heading"><strong>2.Sơ đồ mạng</strong></h2>



<figure class="wp-block-image size-large"><img decoding="async" width="1024" height="481" src="https://thegioifirewall.com/wp-content/uploads/Drawing1-12-1024x481.png" alt="" class="wp-image-12857" srcset="https://thegioifirewall.com/wp-content/uploads/Drawing1-12-1024x481.png 1024w, https://thegioifirewall.com/wp-content/uploads/Drawing1-12-300x141.png 300w, https://thegioifirewall.com/wp-content/uploads/Drawing1-12-768x360.png 768w, https://thegioifirewall.com/wp-content/uploads/Drawing1-12-1536x721.png 1536w, https://thegioifirewall.com/wp-content/uploads/Drawing1-12.png 1675w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph"><strong>Chi tiết sơ đồ mạng:</strong></p>



<ul class="wp-block-list"><li>Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.</li><li>Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.</li><li>Trong mạng LAN chúng ta sẽ có 1 thiết bị một là máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="258" src="https://thegioifirewall.com/wp-content/uploads/2-47-1024x258.png" alt="" class="wp-image-12859" srcset="https://thegioifirewall.com/wp-content/uploads/2-47-1024x258.png 1024w, https://thegioifirewall.com/wp-content/uploads/2-47-300x76.png 300w, https://thegioifirewall.com/wp-content/uploads/2-47-768x193.png 768w, https://thegioifirewall.com/wp-content/uploads/2-47-1536x387.png 1536w, https://thegioifirewall.com/wp-content/uploads/2-47-2048x516.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>3.Tình huống cấu hình</strong></h2>



<p class="wp-block-paragraph">Thực hiện tạo Query trên Sophos Central bằng tính năng Live Discover để kiểm tra danh sách ứng dụng đã được cài đặt trong khoảng thời gian xác định.</p>



<h2 class="wp-block-heading"><strong>4.Các bước cấu hình</strong></h2>



<ul class="wp-block-list"><li><span style="color: initial;">Tạo query.</span></li></ul>



<h2 class="wp-block-heading"><strong>5.Hướng dẫn cấu hình.</strong></h2>



<h3 class="wp-block-heading"><strong>5.1.Tạo query</strong></h3>



<p class="wp-block-paragraph">Để tạo query các bạn vào Threat Analysis Center &gt; Live Discover.</p>



<p class="wp-block-paragraph">Đầu tiên chúng ta sẽ bật Designer Mode.</p>



<p class="wp-block-paragraph">Sau đó chúng ta nhấn Create new query để tạo query mới.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="358" src="https://thegioifirewall.com/wp-content/uploads/5-49-1024x358.png" alt="" class="wp-image-12861" srcset="https://thegioifirewall.com/wp-content/uploads/5-49-1024x358.png 1024w, https://thegioifirewall.com/wp-content/uploads/5-49-300x105.png 300w, https://thegioifirewall.com/wp-content/uploads/5-49-768x268.png 768w, https://thegioifirewall.com/wp-content/uploads/5-49-1536x536.png 1536w, https://thegioifirewall.com/wp-content/uploads/5-49-2048x715.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph">Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:</p>



<ul class="wp-block-list"><li>Query Name: đặt tên cho query này là Query List Software.</li><li>Category: chọn Device.</li><li>Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="457" src="https://thegioifirewall.com/wp-content/uploads/1-52-1024x457.png" alt="" class="wp-image-12963" srcset="https://thegioifirewall.com/wp-content/uploads/1-52-1024x457.png 1024w, https://thegioifirewall.com/wp-content/uploads/1-52-300x134.png 300w, https://thegioifirewall.com/wp-content/uploads/1-52-768x343.png 768w, https://thegioifirewall.com/wp-content/uploads/1-52-1536x686.png 1536w, https://thegioifirewall.com/wp-content/uploads/1-52-2048x914.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Tại ô SQL chúng ta nhập vào đoạn code dưới đây.</li></ul>



<pre class="wp-block-code"><code><strong>SELECT name, version, publisher, install_date,
install_location AS 'Install Path'
FROM Programs
WHERE NAME NOT LIKE 'Sophos%'
OR install_date = ''
AND install_date &gt;= '$$StartDate$$'
AND install_date &lt;= '$$EndDate$$'
ORDER BY install_date DESC</strong></code></pre>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="189" src="https://thegioifirewall.com/wp-content/uploads/3-53-1024x189.png" alt="" class="wp-image-12964" srcset="https://thegioifirewall.com/wp-content/uploads/3-53-1024x189.png 1024w, https://thegioifirewall.com/wp-content/uploads/3-53-300x55.png 300w, https://thegioifirewall.com/wp-content/uploads/3-53-768x142.png 768w, https://thegioifirewall.com/wp-content/uploads/3-53-1536x283.png 1536w, https://thegioifirewall.com/wp-content/uploads/3-53-2048x377.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Tại Variable editor chúng ta nhấn Add variable để thêm thông số ngày giữa ngày bắt đầu và ngày kết thúc.</li></ul>



<ul class="wp-block-list"><li>Ví dụ các bạn muốn xem danh sách các ứng dụng được cài đặt từ ngày 20 tháng 10 năm 2019 đến ngày 31 tháng 10 năm 2019 thì các bạn nhập StartDate là 20 tháng 10 và EndDate là 31 tháng 10 như hình sau:</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="174" src="https://thegioifirewall.com/wp-content/uploads/2-49-1024x174.png" alt="" class="wp-image-12962" srcset="https://thegioifirewall.com/wp-content/uploads/2-49-1024x174.png 1024w, https://thegioifirewall.com/wp-content/uploads/2-49-300x51.png 300w, https://thegioifirewall.com/wp-content/uploads/2-49-768x130.png 768w, https://thegioifirewall.com/wp-content/uploads/2-49-1536x260.png 1536w, https://thegioifirewall.com/wp-content/uploads/2-49-2048x347.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Tại Device selector chúng ta chọn máy chủ đã được cài đặt Sophos Endpoint và nhấn Query.</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="449" src="https://thegioifirewall.com/wp-content/uploads/4-54-1024x449.png" alt="" class="wp-image-12965" srcset="https://thegioifirewall.com/wp-content/uploads/4-54-1024x449.png 1024w, https://thegioifirewall.com/wp-content/uploads/4-54-300x131.png 300w, https://thegioifirewall.com/wp-content/uploads/4-54-768x337.png 768w, https://thegioifirewall.com/wp-content/uploads/4-54-1536x673.png 1536w, https://thegioifirewall.com/wp-content/uploads/4-54-2048x897.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph">Đợi vài giây thì kết quả query sẽ ra danh sách các phần mềm đã được cài đặt trong khoảng thời gian mà chúng ta đã nhập.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="528" src="https://thegioifirewall.com/wp-content/uploads/5-50-1024x528.png" alt="" class="wp-image-12966" srcset="https://thegioifirewall.com/wp-content/uploads/5-50-1024x528.png 1024w, https://thegioifirewall.com/wp-content/uploads/5-50-300x155.png 300w, https://thegioifirewall.com/wp-content/uploads/5-50-768x396.png 768w, https://thegioifirewall.com/wp-content/uploads/5-50-1536x792.png 1536w, https://thegioifirewall.com/wp-content/uploads/5-50-2048x1055.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph">Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được là có ứng dụng lạ nào đang được cài đặt trên máy chủ server hay không hoặc người dùng có đang cài các ứng dụng không liên quan đến công việc vào máy hay không.</p>



<p class="wp-block-paragraph">Đồng thời cũng cung cấp thời gian mà ứng dụng được cài đặt để người quản trị có thể dễ dàng truy vết.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-tao-query-de-kiem-tra-cac-ung-dung-da-duoc-cai-dat-tren-may-chu-hoac-may-tram-trong-khoang-thoi-gian-xac-dinh/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn query kiểm tra tất cả lỗ hổng trên máy trạm và máy chủ Windows</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-lo-hong-tren-may-tram-va-may-chu-windows/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-lo-hong-tren-may-tram-va-may-chu-windows/#respond</comments>
		
		<dc:creator><![CDATA[Taika]]></dc:creator>
		<pubDate>Fri, 29 Oct 2021 07:14:05 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12958</guid>

					<description><![CDATA[Overview Sophos Extended Detection and Response (XDR)&#160; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>Overview</strong></p>



<p class="wp-block-paragraph">Sophos Extended Detection and Response (XDR)&nbsp; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất</p>



<p class="wp-block-paragraph">Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được tất cả các lổ hổng trên máy trạm, máy chủ Windows. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra</p>



<p class="wp-block-paragraph"><strong>Mô hình query</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3040.png" alt=""/></figure></div>



<p class="wp-block-paragraph"><strong>Hướng dẫn cấu hình</strong></p>



<p class="wp-block-paragraph"><strong>Bước 1: Tạo Custom Query</strong></p>



<ul class="wp-block-list"><li>Đăng nhập&nbsp;<strong>Sophos Central Admin</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Threat Analysis Center</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Live Discover</strong>&nbsp;-&gt; Bật&nbsp;<strong>Designer mode&nbsp;</strong>-&gt; Nhấn&nbsp;<strong>Create new query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3062-1024x487.png" alt=""/></figure></div>



<ul class="wp-block-list"><li>Đặt tên cho query của bạn</li><li>Ở mục&nbsp;<strong>Category</strong>: Chọn category mà bạn muốn lưu query vào</li><li>Ở mục&nbsp;<strong>Source</strong>: Chọn&nbsp;<strong>Live Endpoint</strong>&nbsp;và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -&gt; Tìm hiểu thêm trên Sophos Community”</li><li>Ở mục&nbsp;<strong>SQL</strong>: Nhập đoạn code query</li></ul>



<p class="wp-block-paragraph">WITH program_list AS (<br>SELECT<br>REPLACE(REPLACE(REPLACE(name,&#8217;,&#8217;,&#8217; &#8216;),&#8217;+&#8217;,&#8217; &#8216;),&#8217;.&#8217;,&#8217; &#8216;) name, &#8212; STRIP out some characters not normally found in product names to improve chances of finding it in the CSV DB<br>version,<br>REPLACE(REPLACE(REPLACE(publisher,&#8217;,&#8217;,&#8217; &#8216;),&#8217;+&#8217;,&#8217; &#8216;),&#8217;.&#8217;,&#8217; &#8216;) publisher<br>FROM programs<br>WHERE version > &#8221;<br>)<br>/<strong><em>\ | We will search for the Publisher, Product Name and version and use some wild cards &#8216;%&#8221; after we | | create a simple one word name for the publisher and product. The expectation is that these three | | pices of information should be relativly unique, but we can still get FPs | **</em></strong>/<br>SELECT<br>publisher,<br>CAST(name AS TEXT) || &#8216; &#8216; || version Application,<br>url &#8216;Identified CVE List&#8217;<br>FROM program_list<br>JOIN curl ON<br>url = &#8216;https://www.cvedetails.com/version-search.php?vendor=&#8217;<br>|| replace(program_list.publisher, ltrim(program_list.publisher, replace(program_list.publisher, &#8216; &#8216;, &#8221;)), &#8221;)<br>|| &#8216;%&amp;product=&#8217;<br>|| replace(program_list.name, ltrim(program_list.name, replace(program_list.name, &#8216; &#8216;, &#8221;)), &#8221;)<br>|| &#8216;%&amp;version=&#8217;<br>|| program_list.version<br>WHERE result<br>LIKE &#8216;%Details for%&#8217;;</p>



<ul class="wp-block-list"><li>Nhấn <strong>Save</strong></li></ul>



<p class="wp-block-paragraph"><strong>Bước 2: Thực hiện test query</strong></p>



<ul class="wp-block-list"><li>Chọn Query mà bạn đã tạo trước đó</li><li>Ở mục <strong>Device selector</strong>: Chọn các máy tính mà bạn muốn query</li><li>Nhấn <strong>Run Query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="487" src="https://thegioifirewall.com/wp-content/uploads/image-3144-1024x487.png" alt="" class="wp-image-12959" srcset="https://thegioifirewall.com/wp-content/uploads/image-3144-1024x487.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3144-300x143.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3144-768x366.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3144-1536x731.png 1536w, https://thegioifirewall.com/wp-content/uploads/image-3144.png 1920w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure></div>



<p class="wp-block-paragraph"><strong>Bước 3: Kiểm tra kết quả</strong></p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-lo-hong-tren-may-tram-va-may-chu-windows/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn tạo Query để kiểm tra số phiên Remote Desktop đã được truy cập trong N ngày gần nhất</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-tao-query-de-kiem-tra-so-phien-remote-desktop-da-duoc-truy-cap-trong-n-ngay-gan-nhat/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-tao-query-de-kiem-tra-so-phien-remote-desktop-da-duoc-truy-cap-trong-n-ngay-gan-nhat/#respond</comments>
		
		<dc:creator><![CDATA[TrungNghia]]></dc:creator>
		<pubDate>Fri, 29 Oct 2021 03:04:00 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<category><![CDATA[Sophos XDR: Hướng dẫn tạo Query để kiểm tra số phiên Remote Desktop đã được truy cập trong N ngày gần nhất]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12968</guid>

					<description><![CDATA[1.Mục đích bài viết Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra số phiên Remote Desktop đã được truy cập trong N ngày gần nhất. 2.Sơ đồ mạng Chi tiết sơ đồ mạng: Đường truyền internet được kết nối tại port 2 của thiết [&#8230;]]]></description>
										<content:encoded><![CDATA[
<h2 class="wp-block-heading"><strong>1.Mục đích bài viết</strong></h2>



<p class="wp-block-paragraph">Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra số phiên Remote Desktop đã được truy cập trong N ngày gần nhất.</p>



<h2 class="wp-block-heading"><strong>2.Sơ đồ mạng</strong></h2>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="328" src="https://thegioifirewall.com/wp-content/uploads/Drawing1-11-1024x328.png" alt="" class="wp-image-12838" srcset="https://thegioifirewall.com/wp-content/uploads/Drawing1-11-1024x328.png 1024w, https://thegioifirewall.com/wp-content/uploads/Drawing1-11-300x96.png 300w, https://thegioifirewall.com/wp-content/uploads/Drawing1-11-768x246.png 768w, https://thegioifirewall.com/wp-content/uploads/Drawing1-11-1536x493.png 1536w, https://thegioifirewall.com/wp-content/uploads/Drawing1-11.png 1540w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph"><strong>Chi tiết sơ đồ mạng:</strong></p>



<ul class="wp-block-list"><li>Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.</li><li>Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.</li><li>Trong mạng LAN chúng ta sẽ có máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="258" src="https://thegioifirewall.com/wp-content/uploads/13-33-1024x258.png" alt="" class="wp-image-12839" srcset="https://thegioifirewall.com/wp-content/uploads/13-33-1024x258.png 1024w, https://thegioifirewall.com/wp-content/uploads/13-33-300x76.png 300w, https://thegioifirewall.com/wp-content/uploads/13-33-768x193.png 768w, https://thegioifirewall.com/wp-content/uploads/13-33-1536x387.png 1536w, https://thegioifirewall.com/wp-content/uploads/13-33-2048x516.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>3.Tình huống cấu hình</strong></h2>



<p class="wp-block-paragraph">Chúng ta sẽ tạo query và chạy query này trên máy chủ WIN-V3N9Q4OC2GG để kiểm tra số phiên Remote Desktop trong N ngày gần nhất.</p>



<h2 class="wp-block-heading"><strong>4.Các bước cấu hình</strong></h2>



<ul class="wp-block-list"><li><span style="color: initial;">Tạo query.</span></li></ul>



<h2 class="wp-block-heading"><strong>5.Hướng dẫn cấu hình</strong></h2>



<h3 class="wp-block-heading"><strong>5.1.Tạo query</strong></h3>



<p class="wp-block-paragraph">Để tạo query các bạn vào Threat Analysis Center &gt; Live Discover.</p>



<p class="wp-block-paragraph">Đầu tiên chúng ta sẽ bật Designer Mode.</p>



<p class="wp-block-paragraph">Sau đó chúng ta nhấn Create new query để tạo query mới.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="358" src="https://thegioifirewall.com/wp-content/uploads/12-37-1024x358.png" alt="" class="wp-image-12848" srcset="https://thegioifirewall.com/wp-content/uploads/12-37-1024x358.png 1024w, https://thegioifirewall.com/wp-content/uploads/12-37-300x105.png 300w, https://thegioifirewall.com/wp-content/uploads/12-37-768x268.png 768w, https://thegioifirewall.com/wp-content/uploads/12-37-1536x536.png 1536w, https://thegioifirewall.com/wp-content/uploads/12-37-2048x715.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph">Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:</p>



<ul class="wp-block-list"><li>Query Name: đặt tên cho query này là List of RDP Sessions in last N Days.</li><li>Category: chọn Device.</li><li>Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="403" src="https://thegioifirewall.com/wp-content/uploads/1-53-1024x403.png" alt="" class="wp-image-12969" srcset="https://thegioifirewall.com/wp-content/uploads/1-53-1024x403.png 1024w, https://thegioifirewall.com/wp-content/uploads/1-53-300x118.png 300w, https://thegioifirewall.com/wp-content/uploads/1-53-768x302.png 768w, https://thegioifirewall.com/wp-content/uploads/1-53-1536x604.png 1536w, https://thegioifirewall.com/wp-content/uploads/1-53-2048x806.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Tại ô SQL chúng ta nhập vào đoạn code dưới đây.</li></ul>



<pre class="wp-block-code"><code>SELECT
 datetime(time,'unixepoch') 'Date-Time',
 (strftime('%s','now')-time)/(3600*24) 'Days ago' ,eventid, 'TS Remote' AS Source,
JSON_EXTRACT(data, '$.UserData.Param1') AS Name,
JSON_EXTRACT(data, '$.UserData.Param2') AS Source_Machine_Network,
JSON_EXTRACT(data, '$.UserData.Param3') AS Source_IP
FROM sophos_windows_events
WHERE source = 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' AND
 eventid = 1149 AND
 time &gt; strftime('%s', 'now', '-$$Days to look back from now$$ days');</code></pre>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="152" src="https://thegioifirewall.com/wp-content/uploads/2-50-1024x152.png" alt="" class="wp-image-12974" srcset="https://thegioifirewall.com/wp-content/uploads/2-50-1024x152.png 1024w, https://thegioifirewall.com/wp-content/uploads/2-50-300x44.png 300w, https://thegioifirewall.com/wp-content/uploads/2-50-768x114.png 768w, https://thegioifirewall.com/wp-content/uploads/2-50-1536x227.png 1536w, https://thegioifirewall.com/wp-content/uploads/2-50-2048x303.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Tại Variable editor chúng ta nhấn Add variable để thêm thông số ngày như hình sau.</li><li>Tại Enter value to use when query run các bạn nhập số ngày vào ô này, ví dụ các bạn kiểm tra xem trong 10 ngày gần nhất tính từ lúc bạn chạy query thì có bao nhiêu phiên Remote Desktop đã truy cập đến máy chủ này.</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="127" src="https://thegioifirewall.com/wp-content/uploads/3-54-1024x127.png" alt="" class="wp-image-12972" srcset="https://thegioifirewall.com/wp-content/uploads/3-54-1024x127.png 1024w, https://thegioifirewall.com/wp-content/uploads/3-54-300x37.png 300w, https://thegioifirewall.com/wp-content/uploads/3-54-768x95.png 768w, https://thegioifirewall.com/wp-content/uploads/3-54-1536x190.png 1536w, https://thegioifirewall.com/wp-content/uploads/3-54-2048x253.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Tại Device selector chúng ta chọn máy chủ WIN-V3N9Q4OC2GG đã được cài đặt Sophos Endpoint và nhấn Query.</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="391" src="https://thegioifirewall.com/wp-content/uploads/4-55-1024x391.png" alt="" class="wp-image-12971" srcset="https://thegioifirewall.com/wp-content/uploads/4-55-1024x391.png 1024w, https://thegioifirewall.com/wp-content/uploads/4-55-300x114.png 300w, https://thegioifirewall.com/wp-content/uploads/4-55-768x293.png 768w, https://thegioifirewall.com/wp-content/uploads/4-55-1536x586.png 1536w, https://thegioifirewall.com/wp-content/uploads/4-55-2048x781.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph">Đợi vài giây thì kết quả query sẽ hiển thị ra tài khoản admin1 mà chúng ta vừa tạo kèm theo thời gian tạo.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="133" src="https://thegioifirewall.com/wp-content/uploads/5-51-1024x133.png" alt="" class="wp-image-12982" srcset="https://thegioifirewall.com/wp-content/uploads/5-51-1024x133.png 1024w, https://thegioifirewall.com/wp-content/uploads/5-51-300x39.png 300w, https://thegioifirewall.com/wp-content/uploads/5-51-768x100.png 768w, https://thegioifirewall.com/wp-content/uploads/5-51-1536x199.png 1536w, https://thegioifirewall.com/wp-content/uploads/5-51-2048x266.png 2048w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph">Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được có bao nhiêu phiên Remote Desktop trong một khoảng thời gian xác định.</p>



<p class="wp-block-paragraph">Từ đó giúp chúng ta có xác định được nguy cơ hacker đang âm thầm chiếm quyền của máy chủ.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-tao-query-de-kiem-tra-so-phien-remote-desktop-da-duoc-truy-cap-trong-n-ngay-gan-nhat/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn query kiểm tra các ứng dụng tự động chạy khi bật máy trạm, máy chủ Windows</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-cac-ung-dung-tu-dong-chay-khi-bat-may-tram-may-chu-windows/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-cac-ung-dung-tu-dong-chay-khi-bat-may-tram-may-chu-windows/#respond</comments>
		
		<dc:creator><![CDATA[Taika]]></dc:creator>
		<pubDate>Sun, 24 Oct 2021 12:50:40 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12824</guid>

					<description><![CDATA[Overview Sophos Extended Detection and Response (XDR)&#160; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>Overview</strong></p>



<p class="wp-block-paragraph">Sophos Extended Detection and Response (XDR)&nbsp; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất</p>



<p class="wp-block-paragraph">Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được tất cả các ứng dụng tự động chạy khi bật máy trạm, máy chủ Windows. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra</p>



<p class="wp-block-paragraph"><strong>Mô hình query</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3040.png" alt=""/></figure></div>



<p class="wp-block-paragraph"><strong>Hướng dẫn cấu hình</strong></p>



<p class="wp-block-paragraph"><strong>Bước 1: Tạo Custom Query</strong></p>



<ul class="wp-block-list"><li>Đăng nhập&nbsp;<strong>Sophos Central Admin</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Threat Analysis Center</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Live Discover</strong>&nbsp;-&gt; Bật&nbsp;<strong>Designer mode&nbsp;</strong>-&gt; Nhấn&nbsp;<strong>Create new query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3062-1024x487.png" alt=""/></figure></div>



<ul class="wp-block-list"><li>Đặt tên cho query của bạn</li><li>Ở mục&nbsp;<strong>Category</strong>: Chọn category mà bạn muốn lưu query vào</li><li>Ở mục&nbsp;<strong>Source</strong>: Chọn&nbsp;<strong>Live Endpoint</strong>&nbsp;và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -&gt; Tìm hiểu thêm trên Sophos Community”</li><li>Ở mục&nbsp;<strong>SQL</strong>: Nhập đoạn code query</li></ul>



<p class="wp-block-paragraph">SELECT<br>name as &#8216;Key Name&#8217;,<br>source as &#8216;Start Up source&#8217;,<br>path as &#8216;Path&#8217;,<br>args as &#8216;Aruments&#8217;,<br>username as &#8216;Owner&#8217;,<br>status as &#8216;Status&#8217;<br>FROM startup_items<br>ORDER by status</p>



<ul class="wp-block-list"><li>Nhấn&nbsp;<strong>Save</strong></li></ul>



<p class="wp-block-paragraph"><strong>Bước 2: Thực hiện test query</strong></p>



<ul class="wp-block-list"><li>Chọn Query mà bạn đã tạo trước đó</li><li>Ở mục&nbsp;<strong>Device selector</strong>: Chọn các máy tính mà bạn muốn query</li><li>Nhấn&nbsp;<strong>Run Query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="487" src="https://thegioifirewall.com/wp-content/uploads/image-3119-1024x487.png" alt="" class="wp-image-12827" srcset="https://thegioifirewall.com/wp-content/uploads/image-3119-1024x487.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3119-300x143.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3119-768x366.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3119-1536x731.png 1536w, https://thegioifirewall.com/wp-content/uploads/image-3119.png 1920w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure></div>



<p class="wp-block-paragraph"><strong>Bước 3: Kiểm tra kết quả</strong></p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-cac-ung-dung-tu-dong-chay-khi-bat-may-tram-may-chu-windows/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn query kiểm tra tất cả certificate trên máy trạm và máy chủ Windows</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-certificate-tren-may-tram-va-may-chu-windows/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-certificate-tren-may-tram-va-may-chu-windows/#respond</comments>
		
		<dc:creator><![CDATA[Taika]]></dc:creator>
		<pubDate>Fri, 22 Oct 2021 07:47:07 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12807</guid>

					<description><![CDATA[Overview Sophos Extended Detection and Response (XDR)&#160; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>Overview</strong></p>



<p class="wp-block-paragraph">Sophos Extended Detection and Response (XDR)&nbsp; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất</p>



<p class="wp-block-paragraph">Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được tất cả các certificate đang có trên máy trạm, máy chủ Windows. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra</p>



<p class="wp-block-paragraph"><strong>Mô hình query</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3040.png" alt=""/></figure></div>



<p class="wp-block-paragraph"><strong>Hướng dẫn cấu hình</strong></p>



<p class="wp-block-paragraph"><strong>Bước 1: Tạo Custom Query</strong></p>



<ul class="wp-block-list"><li>Đăng nhập&nbsp;<strong>Sophos Central Admin</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Threat Analysis Center</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Live Discover</strong>&nbsp;-&gt; Bật&nbsp;<strong>Designer mode&nbsp;</strong>-&gt; Nhấn&nbsp;<strong>Create new query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3062-1024x487.png" alt=""/></figure></div>



<ul class="wp-block-list"><li>Đặt tên cho query của bạn</li><li>Ở mục&nbsp;<strong>Category</strong>: Chọn category mà bạn muốn lưu query vào</li><li>Ở mục&nbsp;<strong>Source</strong>: Chọn&nbsp;<strong>Live Endpoint</strong>&nbsp;và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -&gt; Tìm hiểu thêm trên Sophos Community”</li><li>Ở mục&nbsp;<strong>SQL</strong>: Nhập đoạn code query</li></ul>



<p class="wp-block-paragraph">SELECT<br>common_name,<br>subject,<br>issuer,<br>ca,<br>self_signed,<br>not_valid_before,<br>not_valid_after,<br>signing_algorithm,<br>key_algorithm,<br>key_strength,<br>key_usage,<br>subject_key_id,<br>authority_key_id,<br>sha1,<br>path,<br>serial,<br>sid,<br>store_location,<br>store,<br>username,<br>store_id<br>FROM certificates</p>



<ul class="wp-block-list"><li>Nhấn&nbsp;<strong>Save</strong></li></ul>



<p class="wp-block-paragraph"><strong>Bước 2: Thực hiện test query</strong></p>



<ul class="wp-block-list"><li>Chọn Query mà bạn đã tạo trước đó</li><li>Ở mục&nbsp;<strong>Device selector</strong>: Chọn các máy tính mà bạn muốn query</li><li>Nhấn&nbsp;<strong>Run Query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="487" src="https://thegioifirewall.com/wp-content/uploads/image-3110-1024x487.png" alt="" class="wp-image-12810" srcset="https://thegioifirewall.com/wp-content/uploads/image-3110-1024x487.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3110-300x143.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3110-768x366.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3110-1536x731.png 1536w, https://thegioifirewall.com/wp-content/uploads/image-3110.png 1920w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure></div>



<p class="wp-block-paragraph"><strong>Bước 3: Kiểm tra kết quả</strong></p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-tat-ca-certificate-tren-may-tram-va-may-chu-windows/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn query tất cả user đang login trên máy trạm, máy chủ Linux</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-query-tat-ca-user-dang-login-tren-may-tram-may-chu-linux/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-query-tat-ca-user-dang-login-tren-may-tram-may-chu-linux/#respond</comments>
		
		<dc:creator><![CDATA[Taika]]></dc:creator>
		<pubDate>Wed, 20 Oct 2021 01:59:35 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12776</guid>

					<description><![CDATA[Overview Sophos Extended Detection and Response (XDR)&#160; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>Overview</strong></p>



<p class="wp-block-paragraph">Sophos Extended Detection and Response (XDR)&nbsp; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất</p>



<p class="wp-block-paragraph">Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được toàn bộ các user đang login vào các máy trạm, máy chủ Linux. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra</p>



<p class="wp-block-paragraph"><strong>Mô hình query</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3040.png" alt=""/></figure></div>



<p class="wp-block-paragraph"><strong>Hướng dẫn cấu hình</strong></p>



<p class="wp-block-paragraph"><strong>Bước 1: Tạo Custom Query</strong></p>



<ul class="wp-block-list"><li>Đăng nhập&nbsp;<strong>Sophos Central Admin</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Threat Analysis Center</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Live Discover</strong>&nbsp;-&gt; Bật&nbsp;<strong>Designer mode&nbsp;</strong>-&gt; Nhấn&nbsp;<strong>Create new query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3062-1024x487.png" alt=""/></figure></div>



<ul class="wp-block-list"><li>Đặt tên cho query của bạn</li><li>Ở mục&nbsp;<strong>Category</strong>: Chọn category mà bạn muốn lưu query vào</li><li>Ở mục&nbsp;<strong>Source</strong>: Chọn&nbsp;<strong>Live Endpoint</strong>&nbsp;và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -&gt; Tìm hiểu thêm trên Sophos Community</li><li>Ở mục&nbsp;<strong>Show variable editor</strong>: Nhấn&nbsp;<strong>Add variable</strong></li><li>Nhập&nbsp;<strong>variable</strong>&nbsp;với&nbsp;<strong>type</strong>: Giá trị sẽ user “user”</li></ul>



<div class="wp-block-image"><figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="158" src="https://thegioifirewall.com/wp-content/uploads/image-3092-1024x158.png" alt="" class="wp-image-12777" srcset="https://thegioifirewall.com/wp-content/uploads/image-3092-1024x158.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3092-300x46.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3092-768x119.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3092.png 1425w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure></div>



<ul class="wp-block-list"><li>Ở mục&nbsp;<strong>SQL</strong>: Nhập đoạn code query</li></ul>



<p class="wp-block-paragraph">SELECT<br>type,<br>user,<br>tty,<br>host,<br>time,<br>pid,<br>sid,<br>registry_hive<br>FROM logged_in_users<br>WHERE type LIKE &#8216;$$type$$&#8217;</p>



<ul class="wp-block-list"><li>Nhấn <strong>Save</strong></li></ul>



<p class="wp-block-paragraph"><strong>Bước 2: Thực hiện test query</strong></p>



<ul class="wp-block-list"><li>Chọn Query mà bạn đã tạo trước đó</li><li>Ở mục&nbsp;<strong>Device selector</strong>: Chọn các máy tính mà bạn muốn query</li><li>Nhấn&nbsp;<strong>Run Query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="487" src="https://thegioifirewall.com/wp-content/uploads/image-3093-1024x487.png" alt="" class="wp-image-12778" srcset="https://thegioifirewall.com/wp-content/uploads/image-3093-1024x487.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3093-300x143.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3093-768x366.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3093-1536x731.png 1536w, https://thegioifirewall.com/wp-content/uploads/image-3093.png 1920w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure></div>



<p class="wp-block-paragraph"><strong>Bước 3: Kiểm tra kết quả</strong></p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-query-tat-ca-user-dang-login-tren-may-tram-may-chu-linux/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Sophos XDR: Hướng dẫn query kiểm tra những user đang login vào máy trạm, máy chủ Windows</title>
		<link>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-nhung-user-dang-login-vao-may-tram-may-chu-windows/</link>
					<comments>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-nhung-user-dang-login-vao-may-tram-may-chu-windows/#respond</comments>
		
		<dc:creator><![CDATA[Taika]]></dc:creator>
		<pubDate>Fri, 15 Oct 2021 01:59:07 +0000</pubDate>
				<category><![CDATA[Endpoint Detection & Response (EDR)]]></category>
		<category><![CDATA[Sophos XDR]]></category>
		<guid isPermaLink="false">https://www.thegioifirewall.com/?p=12764</guid>

					<description><![CDATA[Overview Sophos Extended Detection and Response (XDR)&#160; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><strong>Overview</strong></p>



<p class="wp-block-paragraph">Sophos Extended Detection and Response (XDR)&nbsp; cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất</p>



<p class="wp-block-paragraph">Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được toàn bộ các user đang login vào các máy trạm, máy chủ Windows. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra</p>



<p class="wp-block-paragraph"><strong>Mô hình query</strong></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3040.png" alt=""/></figure></div>



<p class="wp-block-paragraph"><strong>Hướng dẫn cấu hình</strong></p>



<p class="wp-block-paragraph"><strong>Bước 1: Tạo Custom Query</strong></p>



<ul class="wp-block-list"><li>Đăng nhập&nbsp;<strong>Sophos Central Admin</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Threat Analysis Center</strong>&nbsp;-&gt; Chọn&nbsp;<strong>Live Discover</strong>&nbsp;-&gt; Bật&nbsp;<strong>Designer mode&nbsp;</strong>-&gt; Nhấn&nbsp;<strong>Create new query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/image-3062-1024x487.png" alt=""/></figure></div>



<ul class="wp-block-list"><li>Đặt tên cho query của bạn</li><li>Ở mục&nbsp;<strong>Category</strong>: Chọn category mà bạn muốn lưu query vào</li><li>Ở mục&nbsp;<strong>Source</strong>: Chọn&nbsp;<strong>Live Endpoint</strong>&nbsp;và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -&gt; Tìm hiểu thêm trên Sophos Community</li><li>Ở mục&nbsp;<strong>Show variable editor</strong>: Nhấn&nbsp;<strong>Add variable</strong></li><li>Nhập&nbsp;<strong>variable</strong>&nbsp;với&nbsp;<strong>type</strong>: Giá trị sẽ user &#8220;active&#8221;</li></ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="149" src="https://thegioifirewall.com/wp-content/uploads/image-3090-1024x149.png" alt="" class="wp-image-12765" srcset="https://thegioifirewall.com/wp-content/uploads/image-3090-1024x149.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3090-300x44.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3090-768x111.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3090.png 1441w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Ở mục&nbsp;<strong>SQL</strong>: Nhập đoạn code query</li></ul>



<p class="wp-block-paragraph">SELECT<br>type,<br>user,<br>tty,<br>host,<br>time,<br>pid,<br>sid,<br>registry_hive<br>FROM logged_in_users<br>WHERE type LIKE &#8216;$$type$$&#8217;</p>



<ul class="wp-block-list"><li>Nhấn <strong>Save</strong></li></ul>



<p class="wp-block-paragraph"><strong>Bước 2: Thực hiện test query</strong></p>



<ul class="wp-block-list"><li>Chọn Query mà bạn đã tạo trước đó</li><li>Ở mục&nbsp;<strong>Device selector</strong>: Chọn các máy tính mà bạn muốn query</li><li>Nhấn&nbsp;<strong>Run Query</strong></li></ul>



<div class="wp-block-image"><figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="487" src="https://thegioifirewall.com/wp-content/uploads/image-3091-1024x487.png" alt="" class="wp-image-12766" srcset="https://thegioifirewall.com/wp-content/uploads/image-3091-1024x487.png 1024w, https://thegioifirewall.com/wp-content/uploads/image-3091-300x143.png 300w, https://thegioifirewall.com/wp-content/uploads/image-3091-768x366.png 768w, https://thegioifirewall.com/wp-content/uploads/image-3091-1536x731.png 1536w, https://thegioifirewall.com/wp-content/uploads/image-3091.png 1920w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure></div>



<p class="wp-block-paragraph"><strong>Bước 3: Kiểm tra kết quả</strong></p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xdr-huong-dan-query-kiem-tra-nhung-user-dang-login-vao-may-tram-may-chu-windows/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
