1 Giới thiệu
Sophos Endpoint là một trong những sản phẩm bảo mật chủ lực của Sophos có khả năng hoạt động tương tự như phần mềm antivirus, ngoài các tính năng chính về security, enpoint còn giúp cung cấp các công cụ để điều khiển và quản lý máy người dùng. Trong đó Live Discovery là một trong những tính năng hữu ích của Sophos Endpoint. Hôm nay, thegioifirewall sẽ giới thiệu đến bạn tính năng chính cũng như hướng dẫn sử dụng Live Discovery, một trong những tính năng mới được ra mắt và đang được sử dụng ngày càng nhiều trong thời gian gần đây.
Live Discovery là một tính năng nằm trong nhóm công cụ quản lý và tìm kiếm của Sophos Endpoint. Cho phép bạn quản lý các thiết bị thuộc quyền của bạn thông qua Sophos central. Live Discovery cung cấp khả năng tìm kiếm thông tin, cũng như nhận biết sớm những dấu hiệu và nguy cơ tiềm tàng gây mất an ninh trong hệ thống mạng.
2 Cách thức hoạt động
Các máy client cài endpoint sẽ được quản lý tập trung trên Sophos Central. Live Discovery cung cấp những thư viện query có sẵn, bạn chỉ việc chọn thông tin mình cần và Run Query để lấy dữ liệu của máy cần tìm kiếm. Ngoài ra bạn có thể tùy chỉnh lại Query tùy theo mục đích. Live Discovery sử dụng Osquery hay SQL với đa dạng các tập lệnh.
Khi sử dụng Live Discovery bạn có thể tùy chọn truy vấn thông tin từ:
-Endpoint query: truy vấn trực tiếp từ những máy tính hiện đang online
-Data lake query: các máy client sẽ gửi thông tin của mình lên Data lake và khi bạn chạy query thì Live Discovery sẽ lấy thông tin từ Data lake đó. Điều này giúp bạn có thể query thông tin của máy user kể cả khi họ đang offline.
Ở phần này, thegioifirewall sẽ hướng dẫn các bạn cách sử dụng Live Discovery truy vấn thông tin trực tiếp từ Endpoint. Để thực hiện truy vấn và upload thông tin theo cách dùng Data lake. Các bạn có thể tham khảo ở link sau: Click
3 Hướng dẫn sử dụng
Vào mục Live Discovery ta truy cập
Overview > Threat Analysis Center và chọn Live Discover.
Chế độ Designer Mode để tùy chỉnh querry của mình. Ở đây ta chỉ sử dụng các query có sẵn nên để disable
Mục Query ta nhìn thấy group các query dựng sẵn. Chọn All queries để xem tất cả các query sẵn có
Vào ô Search để lọc query với từ khóa cần tìm. Ta có thể xem thông tin cũng như phiên bản hệ điều hành để chọn query phù hợp
Chọn thiết bị để query. Nếu bạn query ở Data lake thì không cần chọn mục này. Sau khi chọn xong click Update selected devices list
Click vào Run query để chạy query trên các máy đã chọn. Ta có thể chạy cùng lúc 4 query trên 1 thiết bị. Thời gian lấy thông tin tùy thộc vào số lượng máy trong hệ thống cũng như lượng thông tin cần query
Sau khi có kết quả sẽ hiện thông tin như sau.
Ngoài xem thông tin CPU chúng ta có thể xem thông tin ổ cứng, port mạng đang mở, process đang chạy…
Vậy là bạn đã thành công lấy được thông tin cpu của 2 Pc vừa chọn.
4 Kiểm tra log
Vào mục Logs & Reports
Dưới General Logs, click Audit Logs
Thông tin về lệnh Discovery hiển thị như sau. Ta có thể xem người thực hiện query, id query và các thông tin liên quan