Bài viết này sẽ hướng dẫn chi tiết cách cấu hình tính năng (Mesh) giữa các thiết bị Sophos APX. Các APX được cấu hình trên Sophos Central.

2 Các bước thực hiện

Lưu ý: Khi cấu hình mesh sẽ cần tạo ra 1 SSID mới dung riêng cho việc mesh, tránh sử dụng lại SSID cũ sẽ làm mất mạng trong hệ thống.

Tại Mở mục quản lý wireless tại Sophos central. Tại mục SSID ta Create 1 SSID mới.

Đặt tên cho SSID này, đây sẽ là SSID ẩn dùng để kết nối giữa các AP với nhau, enable Mesh lên. SSID dung cho Mesh sẽ tự tạo Pass riêng.

Xuống tab Assign network. Chọn thêm các thiết AP cần add cấu hình mesh vào. Chọn Save cấu hình

Sau đó SSID Mesh sẽ hiện lên như hình.

Chuyển đến tab Access Point để kiểm tra các thiết bị đã nhận cấu hình mới nhất hay chưa. Các thiết bị tham gia vào mạng mesh sẽ hiện thông tin Mesh phía sau.

Sau đó tiến hành mô phỏng mất tín hiệu bằng cách rút dây lan cấp mạng cho AP mesh.

Sau khi tiến mất tín hiệu mạng thì trạng thái thiết bị sẽ là offline và nhận cấp mạng từ thiết bị còn lại. Trạng thái thiết bị cấp mạng sẽ là root.

Sau đó kiểm tra các Device đang kết nối đến AP mesh thì cũng sẽ có thông tin ở trong mục device đang kết nối AP root. AP root quản lý luôn cả thiết bị kết nối đến AP mesh.

Sau khi triển khai đồng bộ user Firewall với Domain Controller, bạn gặp tình trạng không thể đăng nhập bằng tài khoản AD, hoặc tình trạng có Account đăng nhập được nhưng Account khác thì lại không.

Trong tình huống này. Rất có thể hệ thống AD đang sử dụng tính năng giới hạn Logon Workstations cho user đó.

Vào event viewer ta thấy đoạn log sau

2 Cách xử lý

Bạn thêm ip của thiết bị firewall và ip của Domain controller vào mục Logonworkstaion và đăng nhập để kiểm tra lại.

Tuy nhiên khi số lượng user nhiều hơn, có thể sử dụng đoạn script dưới đây.

Import-Module ActiveDirectory

$ouPath = "OU=IT,DC=tri,DC=local"

$users = Get-ADUser -Filter * -SearchBase $ouPath -Properties LogonWorkstations

foreach ($user in $users) {

    $currentWorkstations = $user.LogonWorkstations

    if ([string]::IsNullOrEmpty($currentWorkstations)) {

        $currentWorkstations = ""

    }

    if ($currentWorkstations -notlike "*192.168.1.1*" -and $currentWorkstations -notlike "*192.168.2.1*") {

        $newWorkstations = $currentWorkstations + ",192.168.1.1,192.168.2.1"

        Set-ADUser -Identity $user.SamAccountName -LogonWorkstations $newWorkstations

    }

}

Trong đó:

• $ouPath: đường dẫn OU cần cấu hình.
• 192.168.1.1, 192.168.2.1: là 2 địa chỉ ip hoặc tên máy tính ta muốn add thêm vào logon workstation cho toàn bộ user trong OU.

Lưu ý: bạn nên thử đoạn script trong OU test trước khi chạy với OU thực tế để tránh trường hợp mất các Logon workstation cũ.

1 Upload file config ssl vpn lên Onedrive.

Upload file config.pro lên Onedrive và chỉnh quyền truy cập để cho phép truy cập file từ đường link fshare

Chuột phải vào file và chọn nhúng hoặc embedded để lấy mã nhúng, sau đó trong mục src= ta có đường link đường link như trên.

Sau khi có được link, ta thay chữ embed thành download, ví dụ như link ở trên như sau:

https://onedrive.live.com/embed?resid=B1E37D033F50D6DD%21124&authkey=!ACt92S94PZRJTtk

https://onedrive.live.com/download?resid=B1E37D033F50D6DD%21124&authkey=!ACt92S94PZRJTtk

Cách kiểm tra đường link hoạt động hay chưa là truy cập link đó bằng trình duyệt thì file sẽ được download.

Vậy là ta đã có 1 link download trực tiếp file từ onedrive

2 Script download và import file vào Sophos connect.

Ta có đoạn script powershell như sau

$onedriveFileUrl = "https://onedrive.live.com/download?resid=B1E37D033F50D6DD%21124&authkey=!ACt92S94PZRJTtk"

$localFilePath = "$($env:USERPROFILE)\Downloads\config.pro"

Invoke-WebRequest -Uri $onedriveFileUrl -OutFile $localFilePath

Start-Process -FilePath "$($env:USERPROFILE)\Downloads\config.pro"

Start-Sleep -Seconds 10

Remove-Item "$($env:USERPROFILE)\Downloads\config.pro"

Trong đó:

• $onedriveFileUrl: là đường dẫn file download của Onedrive
• $localFilePath: là đường dẫn lưu file, ví dụ ở đây lưu ở thư mục Download với name là config2.pro
• Start-Process -FilePath: lệnh này để chạy file vừa download khi nãy, file lúc nãy down ở trong thư mục Dowload

Lưu file lại thành .ps1 và sau đó run file powershell này hoặc dùng gpo deploy powershell script xuống máy user.

Sau khi chạy script xong. Kiểm ra lại trong Sophos connect, config đã được import

Bài viết hướng dẫn cấu hình chỉ cho phép phòng ban IT SSH tới web server và remote desktop vào windows server, không cho người dùng phòng ban Sale thực hiện tương tự như phòng ban IT,bằng 2 phương pháp .

Sơ đồ mạng:

Các cấu hình chuẩn bị trước:

-Windows srv được cài AD,các PC phòng IT và Sale ping được lớp mạng windows srv,web srv

-Ubuntu cài đặt Web srv,cấu hình SSH

Cài web link tham khảo: https://www.thegioifirewall.com/linux-huong-dan-cai-dat-lamp-stack-tren-ubuntu-server/

-Windows srv cấu hình remote desktop

-PC phòng ban IT và Sale tất cả được join domain

Hướng dẫn cấu hình:

Cách 1: Application Control
1.1.Cấu hình Application Control cho remode desktop và SSH

• Ta vào Protect->chọn Applications->tiếp Application Filter->nhấn Add
• Name: Nhập tên tùy ý
• Template: Allow All
• Nhấn Save để tạo

• Tại smart filter ta nhập lần lược SSH và windows remote desktop
• Tại Action chọn deny
• Nhấn save để tạo

1.2 Định danh cho lớp mạng

• Ta vào System->chọn Hosts and services ->nhấn Add
• Name: Nhập tên tùy ý
• Type:Chọn network
• IP address:Nhập ip local

Làm tương tự

1.3 Tạo rule và add block applications vào Identify and control applications (App control)

• Ta vào Protect->chọn rules and policies-> nhấn add firewall rule
• Source zones:ta chọn mạng nội bộ LAN
• Source networks and devices:ta chọn lớp mạng cần đi
• Destination zones:ta chọn lớp mạng của server (có thể LAN hoặc DMZ)
• Destination networks:ta chọn lớp mạng của server
• Identify and control applications:ta add Block_RDP vào

Kết Quả: Dùng máy PC thuộc Sale điều bị block khi SSH vào web server và remote desktop vào windows server
Kết quả không remote desktop được

Kết quả không SSH tới web server được

Cách 2: Cấu hình cấu hình services trong rules and policies

1.Tạo services cho giao thức UDP và TCP có thể join domain

• Ta vào system->chọn Hosts and services -> vào services->gõ như hình

2. Tạo rules cho từng phòng ban đến server
   2.1 Rules cho phòng ban IT đến server

Tạo lớp mạng local cho phòng ban IT

• Tương tự tạo rule ở trên (xem tại mục 1.3)
• Phần services ta add như hình

2.2 Rules cho phòng ban Sale đến server

• Cách tạo rules như trên (xem tại mục 1.3)
• Phần services:ta add DNS,Ping,UDP&TCP-AD

2.3 Tạo rule cho Server đi đến mạng lan
Cách tạo rules như trên (xem mục 1.3)

Kết quả:
U2 thuộc sale không thể SSH tới web server và không remote desktop tới windows server

Bài viết hướng dẫn cách cấu hình quản lý nhiều thiết bị tường lửa Sophos trên Sophos Central, đồng thời chúng ta có thể cấu hình triển khai tạo 1 chính sách và sẽ được apply xuống toàn bộ thiết bị Sophos firewall

Sơ đồ hoạt động

Các bước cấu hình

1. Đồng bộ các thiết bị Sophos firewall lên Sophos Central
2. Tạo Group cho các thiết bị Sophos firewall
3. Tạo 1 template policy và apply xuống cho các thiết bị
4. Kiểm tra kết quả

Hướng dẫn cấu hình

1. Đồng bộ các thiết bị Sophos firewall lên Sophos Central

• Để add thiết bị Sophos firewall lên Sophos Central để quản lý, tham khảo bài viết hướng dẫn này.

2. Tạo Group cho các thiết bị Sophos firewall

• Truy cập vào Sophos Central Admin -> Đi đến mục Firewall Management

• Đi đến mục Firewalls -> Nhấn Create New Group

• Đặt tên cho Group
• Chọn Use Sophos default
• Chọn các thiết bị Sophos firewall bạn muốn đưa vào Group -> Nhấn icon >-> Nhấn Save

• Các thiết bị Sophos firewall đã được đưa vào Group

3. Tạo 1 template policy và apply xuống cho các thiết bị

• Nhấn vào icon … ở Group firewall -> Chọn Manage Policy

• Ở giao diện triển khai template cho các thiết bị Firewall -> Nhấn Add Firewall Rule -> Chọn New firewall rule

• Cấu hình 1 policy -> Nhấn Save

• Firewall rule đã được thêm xuống các Sophos firewall
• Để theo dõi tiến trình -> Bấm Task Queue

• Task đang được đẩy xuống các thiết bị Sophos firewall

• Trạng thái 1 thiết bị đã hoàn thành

4. Kiểm tra kết quả

• Ta đã thấy firewall rule đã được đẩy xuống 2 thiết bị Sophos firewall

Bài viết hướng dẫn cấu hình query kiểm tra các addons được cài trên web browser Firefox

Sophos XDR có hỗ trợ query với Sophos Data Lake. Sophos Data Lake cung cấp dữ liệu về thiết bị của bạn được lưu trữ trên đám mây. Sau đó, bạn có thể sử dụng Sophos Live Discover để thực hiện các query như: Chạy các truy vấn bảo mật trên tất cả các thiết bị của bạn, ngay cả khi các thiết bị đang offline. Dữ liệu truy vấn trong 7 ngày qua hoặc 30 ngày qua (tùy thuộc vào license của bạn). 

Lợi thế của query Data Lake là việc truy vấn dữ liệu sẽ nhanh hơn do không cần query xuống Endpoint để lấy thông tin.

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code được custom bởi Sophos XDR để query tất cả thông tin của ứng dụng được cài đặt trên endpoint để so sánh với các phiên bản có lỗ hổng bảo mật đã biết sử dụng Data Lake

Mô hình query

Hướng dẫn thực hiện

Bước 1: Tạo Custom Query

• Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query

• Đặt tên cho query của bạn
• Ở mục Category: Chọn category mà bạn muốn lưu query vào
• Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
• Ở mục SQL: Nhập đoạn code query

SELECT DISTINCT
firefox_addons.name,
users.username,
firefox_addons.identifier,
firefox_addons.creator,
firefox_addons.type,
firefox_addons.version,
firefox_addons.description,
firefox_addons.source_url,
firefox_addons.visible,
firefox_addons.active,
firefox_addons.disabled,
firefox_addons.autoupdate,
firefox_addons.native,
firefox_addons.location,
firefox_addons.path
FROM users
LEFT JOIN firefox_addons
USING (uid)
WHERE firefox_addons.name IS NOT NULL

• Nhấn Save

Bước 2: Thực hiện test query

• Chọn Query mà bạn đã tạo trước đó
• Ở mục Device selector: Chọn các máy tính mà bạn muốn query
• Nhấn Run Query

Bước 3: Kiểm tra kết quả

Bài viết này hướng dẫn các bạn sử dụng Sophos API để quản lý các endpoint group trong Sophos central của mình.

1.1 Yêu cầu

Để có thể thực hiện một API call, bạn cần có bộ API Credential. Hướng dẫn lấy API Credential ở bài viết này LINK

Bài viết này sử dụng chương trình CMD trên windows để thực hiện các lệnh Curl, và sử dụng trình soạn thảo văn bản Visual Studio Code để xem các API call output dưới định dạng JSON.

Bài viết này mình sử dụng Prettier và Prettify JSON Extension cho Visual Studio Code

1.2 Cú pháp chung để tạo API request

Khi thực hiện 1 API call thông qua Curl ta thực hiện câu lệnh với cú pháp như sau:

Curl -X<method> -H “Content-type:application/json” -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” -d <Request Body> <data-region>/<path>

Với các thành phần như sau:

Curl: Với máy windows thì ta thay thành curl.exe

<method>:  Phương thức request ( GET, POST…. )

<tenant-id>: Tenant ID của bạn (lấy từ bộ API Credential).

<jwt>: Access token (lấy từ bộ API Credential).

<data-region>: Địa chỉ máy chủ central của bạn (lấy từ bộ API Credential).

<path>: Đường dẫn của request. (VD: /endpoint/v1/endpoint-groups )

<Request body>: Hiển thị trong bài viết dưới dạng json và cần phải convert sang dạng string để có thể đưa vào câu lệnh curl. (Bạn có thể sử dụng trang web chuyển đổi định dạng json to string sau https://jsontostring.com/)

2 Hướng dẫn thực hiện Call API quản lý Endpoint Group

2.1 Lấy danh sách các Endpoint Group

API: GET /endpoint/v1/endpoint-groups

Câu lệnh thực hiện như sau trên CMD:

curl.exe -XGET -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” <data-region>/endpoint/v1/endpoint-groups

Mở CMD và copy câu lệnh trên

Kết quả trả về như sau, ta copy đoạn text này sang trình soạn thảo Visual Studio Code. Tiến hành convert sang định dạng JSON cho dễ xem.

Tại Visual Studio Code ta tạo 1 file mới có định dạng là json. File >> New File >> Select a Language

Copy đoạn output vừa nhận được ở trên. Nhấn tổ hợp phím Ctrl + Shift + P để conver. Chọn Format Document (Force)

Sau khi conver sang định dạng JSON ta có thể xem được list các group với các thông tin về name, id, endpoint… hiện ra như ở dưới

Áp dụng tương tự với các API call khác.

Kiểm tra lại Group trên Sophos Central. Truy cập vào mục Endpoint Protection >> Computer >> Computer Group.

2.2 Tạo mới 1 Endpoint Group

API: GET /endpoint/v1/endpoint-groups

Request body: Là các thông tin về Group mà chúng ta muốn tạo. Ví dụ như sau:

{

  “name”: ” Seattle computers”,                                    //Tên group

  “description”: ” User devices in the Seattle office”,//Mêu tả

  “type”: “computer”,

  “endpointIds”: [

    “abc03d34-a943-45b7-8de3-deaf38864abc”,

    “abc5f3aa-a7c6-43c6-a65e-3cd520084abc”,

    “abc16f62-6ce7-4008-99c5-6a1c209aabbc”            //ID của computer muốn thêm vào group

  ]

}

Câu lệnh thực hiện như sau:

curl.exe -XPOST -H “Content-type:application/json” -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” -d “{\”name\”: \”HCM computers\”,\”description\”: \”HCM office\”,\”type\”: \”computer\”,\”endpointIds\”: [\”abcaa834-88bf-48ba-bcea-2864c3494abc\”,\”abc16ce3-041f-4419-931d-2452a4c38abc\”]}” https://api-us03.central.sophos.com/endpoint/v1/endpoint-groups

Kết quả trả về:

Kiểm tra lại Group trên Sophos Central. Truy cập vào mục Endpoint Protection >> Computer >> Computer Group.

2.3 Get Endpoint Group bằng ID

API: GET /endpoint/v1/endpoint-groups/{groupId}

{Group ID}: ở đây là ID group mà bạn muốn get. Group ID có thể được lấy ở mục 2.1

Câu lệnh thực hiện như sau:

curl.exe -XGET -H “Content-type:application/json” -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” https://api-us03.central.sophos.com/endpoint/v1/endpoint-groups/abc7ed8d-5762-4880-81c6-313e8c216abc

Kết quả trả về:

2.4 Cập nhật 1 Endpoint Group

API: PATCH /endpoint/v1/endpoint-groups/{groupId}

{Group ID}: ở đây là ID group mà bạn muốn get. Group ID có thể được lấy ở mục 2.1

Request body: Là các thông số của Endpoint Group muốn cập nhật.

{

  “name”: “HCM computer updated”,

  “description”: “HCM office”    //Thay đổi trường nào thì add thêm vào

}

Câu lệnh thực hiện như sau:

curl.exe -XPATCH -H “Content-type:application/json” -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” -d “{\”name\”: \”HCM computers updated\”}” https://api-us03.central.sophos.com/endpoint/v1/endpoint-groups/abc7ed8d-5762-4880-81c6-313e8c216abc

Kết quả trả về: Tên group đã được thay đổi thành HCM computer updated

Kiểm tra lại Group trên Sophos Central. Truy cập vào mục Endpoint Protection >> Computer >> Computer Group.

2.5 Thêm Endpoint vào Group

API: POST /endpoint/v1/endpoint-groups/{groupId}/endpoints

{Group ID}: ở đây là ID group mà bạn muốn get. Group ID có thể được lấy ở mục 2.1

Request body: Danh sách những endpoint muốn thêm vào

{

  “ids”: [

    “8a4597a4-e5dd-4e0b-af6e-f627a4f1f699”,  //Will be added

    “bf9907b2-df81-4531-9981-8c47cd24d5cc”  // Will be added

  ]

}

Câu lệnh thực hiện như sau:

curl.exe -XPOST -H “Content-type:application/json” -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” -d “{\”ids\”: [\”abcc34f4-460a-45f6-9e1a-e6e9935f3abc\”,\”abc23e73-97f7-4193-8e03-0e48d6cbfabc\”]}” https://api-us03.central.sophos.com/endpoint/v1/endpoint-groups/abc7ed8d-5762-4880-81c6-313e8c216abc/endpoints

Kết quả trả về: Group đã add thêm 2 PC

Kiểm tra lại Group trên Sophos Central. Truy cập vào mục Endpoint Protection >> Computer >> Computer Group >> Group được add.

2.6 Xóa Endpoint khỏi Group

API: DELETE /endpoint/v1/endpoint-groups/{groupId}/endpoints/{endpointId}

{Group ID}: ở đây là ID group mà bạn muốn get. Group ID có thể được lấy ở mục 2.1

{EndpintID}: ở đây là ID Endpoint mà bạn muốn xóa. Endpoint ID có thể được lấy ở mục 2.1

Câu lệnh thực hiện như sau:

curl.exe -XDELETE -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” -d “{\”ids\”: [\”abcc34f4-460a-45f6-9e1a-e6e9935f3abc\”,\”abc23e73-97f7-4193-8e03-0e48d6cbfabc\”]}” https://api-us03.central.sophos.com/endpoint/v1/endpoint-groups/abc7ed8d-5762-4880-81c6-313e8c216abc/endpoints/abc23e73-97f7-4193-8e03-0e48d6cbfabc

Kết quả trả về: Group đã xóa PC thành công

Kiểm tra lại Group trên Sophos Central. Truy cập vào mục Endpoint Protection >> Computer >> Computer Group >> Group. Ta thấy endpoint đã được xóa khỏi group

2.7 Xóa Endpoint Group

API: DELETE /endpoint/v1/endpoint-groups/{groupId}

{Group ID}: ở đây là ID group mà bạn muốn get. Group ID có thể được lấy ở mục 2.1

Câu lệnh thực hiện như sau:

curl.exe -XDELETE -H “Authorization: Bearer <jwt>” -H “X-Tenant-ID: <tenant-id>” -d “{\”ids\”: [\”abcc34f4-460a-45f6-9e1a-e6e9935f3abc\”,\”abc23e73-97f7-4193-8e03-0e48d6cbfabc\”]}” https://api-us03.central.sophos.com/endpoint/v1/endpoint-groups/abc7ed8d-5762-4880-81c6-313e8c216abc

Kết quả trả về: Group đã xóa PC thành công

Kiểm tra lại Group trên Sophos Central. Truy cập vào mục Endpoint Protection >> Computer >> Computer Group >> Group được add.

Theo Gartner, SASE kết hợp các chức năng bảo mật mạng với khả năng kết nối mạng diện rộng (WAN) để các tổ chức có thể cung cấp quyền truy cập một cách linh hoạt, theo cách an toàn.

Đó là “một gói công nghệ mới…. với khả năng xác định dữ liệu nhạy cảm hoặc phần mềm độc hại và khả năng giải mã nội dung ở tốc độ đường truyền, với việc giám sát liên tục các tiến trình  để biết mức độ rủi ro và tin cậy.”

Vì SASE tích hợp các chức năng mạng như mạng diện rộng được xác định bằng phần mềm (SD-WAN) với bảo mật tại chỗ và bảo mật trên đám mây vào một hệ thống duy nhất, bạn có thể triển khai liền mạch các chính sách thông qua toàn bộ tài nguyên của mình. Điều đó giúp bạn tiết kiệm thời gian và tiền bạc cho việc thiết lập và quản lý đồng thời mang lại trải nghiệm nhất quán, an toàn.

Điều quan trọng là SASE thì khôn ngoan trong việc phân bổ như thế nào và vị trí áp dụng các chính sách của bạn. Nó sẽ đánh giá xem các thiết bị và ứng dụng của bạn có cần quyền truy cập riêng tư, hoặc thực thi quyền truy cập mạng không tin cậy (ZTNA) trên đám mây. Điều này mang lại cho bạn sự bảo mật mà bạn cần thiết nó giúp tăng hiệu suất và giảm chi phí băng thông và độ trễ.

SASE hiện tại trông như thế nào

Những chức năng sẽ trở thành cốt lõi của Sophos SASE phần lớn được tích hợp sẵn trong các công cụ mà bạn sử dụng ngày nay.

Tại Sophos Central, chúng tôi có một điểm quản lý trung tâm hoạt động với các dữ liệu được thống nhất,đảm bảo tính nhất quán và khả năng tương thích, với các khối đã được phân chia. Chúng ta không cần làm cho các sản phẩm hoạt động cùng nhau vì họ đã làm điều đó.

Và chúng tôi sử dụng containerization để xây dựng sản phẩm của mình, như vậy các tính năng và nâng cấp bổ sung, chẳng hạn như khả năng SASE, có thể được định cấu hình trong một mô-đun bổ sung và được bố trí liền mạch, không mất thời gian.

Điều này trông có vẻ nhỏ, nhưng khi bạn sẵn sàng chuyển sang SASE nó sẽ tạo ra một sự khác biệt

Sự khác biệt của Sophos SASE

Khi dùng Sophos SASE, bạn sẽ cảm nhận được ba điểm khác biệt quan trọng

• Sản phẩm được xây dựng với sự hội tụ

Với Sophos, mọi thứ được thiết kế trong cùng một nền tảng, từ các khối kiến trúc giống nhau, mang lại trải nghiệm thống nhất, nhất quán trên toàn bộ hệ sinh thái bảo mật của bạn.

Chúng tôi cố gắng không sử dụng các giải pháp ngắt kết nối hàng loạt và gắn kết chúng với nhau – vì vậy mỗi phần của hệ thống hoạt động hơi khác nhau và mọi bản cập nhật đều có nguy cơ gặp sự cố ở nơi khác.

Thay vào đó, mọi khía cạnh sẽ giống nhau, giúp trải nghiệm dễ dàng, nhất quán và trực quan ở mọi nơi — cho nhóm IT và người dùng – đó là điểm đầu tiên của SASE.

• Hồ dữ liệu tập trung để ứng phó mối đe dọa hiệu quả

Giải pháp SASE của chúng tôi sẽ dựa trên kiến thức chuyên môn hiện có trong việc lưu trữ và phân tích dữ liệu nhật ký tường lửa trong một hồ dữ liệu tập trung. Đó là một nguồn tài nguyên mạnh mẽ cho các chuyên gia SecOps — cho dù là của bạn hay của chúng tôi.

Các mối đe dọa mới xuất hiện hàng ngày, vì vậy bằng cách lưu giữ nhật ký dữ liệu trong 30 ngày, bạn có thể truy cập lại để xem liệu có bất kỳ hình thức tấn công mới được phát hiện nào có ảnh hưởng đến tổ chức của bạn hay không.

Một lần nữa điều này đã được tích hợp sẵn trong các công cụ của chúng tôi. Số lượng Sophos Firewall được kết nối với hồ dữ liệu của chúng tôi đã tăng hơn gấp đôi trong 12 tháng qua.

Và bởi vì Sophos cung cấp dịch vụ khắc phục và săn lùng mối đe dọa 24/7, nên luôn có một nhóm chuyên gia bảo mật sẵn sàng hỗ trợ bạn chỉ bằng một cuộc gọi.

• Kích hoạt trơn tru

Chúng tôi xây dựng các giải pháp bảo vệ mạng của mình bằng cách sử dụng các dịch vụ vi mô được tích hợp sẵn — để chúng dễ dàng điều chỉnh và nâng cấp. Khi chúng tôi thay đổi một khía cạnh hoặc chính sách, nó sẽ được áp dụng liền mạch trên toàn bộ hệ sinh thái của bạn.

Trong thời gian ngắn, điều đó có nghĩa là bạn không cần phải thay thế các giải pháp của mình để tận dụng SASE, Và trong tương lai, bạn có thể mở rộng nhanh chóng trên đám mây và dễ dàng điều chỉnh hệ thống của mình để phù hợp với nhu cầu phát triển của tổ chức.

Dù rằng bạn đã sẵn sàng hoặc cần thêm thời gian để di chuyển, bạn có thể an tâm khi biết rằng các sản phẩm của chúng tôi có thể thích ứng và sẵn sàng khi bạn cần.

Sophos là đối tác của bạn trong tương lai

Các giải pháp bảo mật đang hội tụ và nhanh chóng. Tuy nhiên, cũng như với mọi công nghệ mới, cần tốn khoảng thời gian để yên tâm thực hiện chuyển đổi. Vì vậy, thật tốt khi biết các giải pháp Sophos bạn sử dụng hiện nay không có thời hạn sử dụng giới hạn. Chúng là bằng chứng trong tương lai và sẵn sàng cho SASE.

II.Mục đích bài viết

Bài test tính năng Live Response trên phần mềm Antivirus Sophos CIXA with EDR để kết nối trực tiếp xuống máy trạm và máy chủ để thực hiện kiểm tra và thực hiện các tiến trình mong muốn

III.Các bước thực hiện

1.Chọn máy tính được kết nối

2.Tạo kết nối

Tiếp theo click vào  Live Response sẽ hiện ra giao diện như hình dưới

Đặt tên cho session ( tối thiểu 10 ký tự) à Start

3.Tiến hành thực hiện Live Response

Nhập lệnh tasklist để kiểm tra các chương trình đang chạy trên máy

Màn hình máy sẽ thực hiện kiểm tra tính năng

Nhập lệnh taskkill/im mspaint.exe /F để tắt chương trình paint

4.Kiểm tra kết quả

Theo một báo cáo mới từ Snyk và The Linux Foundation, cách liền mạch nhất để nâng cấp bảo mật của phần mềm nguồn mở là các nhà cung cấp bảo mật chịu trách nhiệm về công cụ bảo mật thông minh.

Báo cáo đã khảo sát những người đóng góp, người bảo trì và nhà phát triển phần mềm nguồn mở, cho thấy 59% cá nhân đồng ý rằng các nhà cung cấp cần phải “bổ sung thêm thông tin đáng tin cậy cho công cụ bảo mật” để cải thiện tình trạng bảo mật nguồn mở một cách rộng rãi hơn. Người dùng cuối các tổ chức xem các nhà cung cấp như là “hệ số nhân lực”, đề xuất cho trường hợp này có lợi cho cả những người dùng cũng như các nhà cung cấp. Báo cáo giải thích, việc tự động hóa các công cụ bảo mật thông minh sẽ giúp giảm bớt gánh nặng cho các chuyên gia bảo mật trong một thị trường cạnh tranh.

Theo báo cáo, đối với các tổ chức thường có nguồn tài nguyên khan hiếm, các công cụ bảo mật mã nguồn mở thông minh được kỳ vọng sẽ cung cấp giá trị một cách minh bạch mà không ảnh hưởng đến năng suất của nhà phát triển, theo báo cáo.

Xác định chứng chỉ bảo mật, các phương pháp tốt nhất

Hành động quan trọng thứ hai để cải thiện trạng thái bảo mật nguồn mở là thu thập các chứng chỉ và phương pháp tốt nhất để phát triển phần mềm an toàn.

Báo cáo viết: “người dùng cuối của các tổ chức rất quan tâm đối với các phương pháp tốt nhất cho việc phát triển phần mêm an toàn ”. Điều này cho thấy tổ chức đầu tư nhiều hơn trong việc giải quyết đầy đủ vấn đề bảo mật nguồn mở.

Nhiều chương trình, chứng chỉ và phương pháp tốt nhất để đánh giá các dự án nguồn mở đã tồn tại, chẳng hạn như dự án Supply chain Levels for Software Artifacts (SLSA) của Google và Open Source Security Foundation (OpenSSF). OpenSSF cũng cung cấp các khóa học về phát triển phần mềm an toàn với chứng chỉ cho những cá nhân hoàn thành khóa đào tạo.

Kiểm soát và tự động hóa mã nguồn mở

Sự ràng buộc giữa việc tăng cường tự động hóa và giám sát bảo mật là cách phổ biến thứ ba mà những người trả lời khảo sát nói rằng họ có thể cải thiện bảo mật nguồn mở. Với các công cụ tự động hóa như infrastructure-as-code (IaC) and policy-as-code (PaC), máy diễn giải sự vận hành chính sách bảo mật mỗi lần, cho phép đánh giá liên tục cơ sở hạ tầng đám mây trên quy mô lớn..

Báo cáo giải thích: “Mặc dù các cuộc đánh giá về bảo mật không thể đánh giá một cách toàn diện về mức độ rủi ro bảo mật của một tổ chức, nhưng các tổ chức phải tự đặt mình vào vị trí để tìm ra sự kiểm soát đó điều này quá xa vời với những tổ chức không có chính sách bảo mật. Hơn 40% tổ chức cho biết họ không tin tưởng vào bảo mật nguồn mở của mình”