HƯỚNG DẪN SỬ DỤNG TÍNH NĂNG MỞ RỘNG CỦA LIVE DISCOVERY ĐỂ XEM DUNG LƯỢNG TRỐNG CỦA Ổ CỨNG VÀ TÌM KIẾM NHỮNG MÁY ĐANG MỞ PORT 3389

1 Giới thiệu

Sophos Endpoint hoạt động như phần mềm antivirus, ngoài các tính năng chính của security, enpoint còn giúp cung cấp các công cụ để điều khiển và quản lý máy người dùng. Trong đó Live Discovery là một trong những tính năng hữu ích của Sophos Endpoint. Hôm nay, thegioifirewall sẽ hướng dẫn các bạn sử dụng Live Discovery để xem dung lượng ổ cứng trống của các máy và kiểm tra xem máy nào trong mạng đang mở port 3389.

2 Các bước tiến hành

Vào mục Live Discovery ta truy cập

Overview > Threat Analysis Center và chọn Live Discover.

2.1 Xem dung lượng trống của ổ cứng các máy user

Ta enable chế độ Designer và click vào Create new query

Đặt tên cho query để save lại sử dụng cho lần sau. Chọn category là device. Chọn chế độ query từ live endpoint

Nhập query vào ô SQL. Lệnh query mình sẽ để ở cuối bài viết.

Chọn máy muốn query. Ở đây ta chọn 2 thiết bị

Bấm Run Query và xem kết quả

Ta lấy được kết quả dung lượng còn trống của ổ cứng.

Dòng device telemetry cho biết kết quả của các lệnh query: ở đây query hoàn thành 2 và không có lỗi nào xảy ra

2.2 Kiểm tra các máy đang mở port 3389

Ta tiến hành tạo query mới như mục 2.1

Nhập SQL như sau và Run Query để xem kết quả

Kết quả là chúng ta đã xem được máy nào mở port 3389. Bạn có thể click vào Pc đó và chọn Isolate để cách ly pc khỏi hệ thống mạng

Bài viết đến đây là hết rồi, các lệnh SQL trong bài mình để ở mục dưới. chúc các bạn demo thành công nhé.

3 Lệnh sử dụng trong bài viết

3.1 Osquery kiểm tra phần trăm đĩa cứng còn lại

SELECT

   device_id Drive,

   description,

   boot_partition,

   file_system,

   printf(“%.2f”, (CAST (free_space AS FLOAT)/CAST(size AS FLOAT) ) * 100.0 ) || ‘%’ Percent_Free,

   printf(“%.2f”, CAST(free_space AS FLOAT)/1024.0/1024.0/1024.0) ‘Free_Space(GB)’,

   printf(“%.2f”, CAST(size AS FLOAT)/1024.0/1024.0/1024.0) ‘Size(GB)’,

   type

FROM

   logical_drives;

3.2 Osquery kiểm máy đang mở port 3389

SELECT

lp.address, lp.pid, lp.port, lp.protocol, p.name, p.path, p.cmdline

FROM listening_ports lp

JOIN processes p

ON lp.pid = p.pid

WHERE lp.port = 3389

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận