1 Giới thiệu
Sophos Endpoint hoạt động như phần mềm antivirus, ngoài các tính năng chính của security, enpoint còn giúp cung cấp các công cụ để điều khiển và quản lý máy người dùng. Trong đó Live Discovery là một trong những tính năng hữu ích của Sophos Endpoint. Hôm nay, thegioifirewall sẽ hướng dẫn các bạn sử dụng Live Discovery để xem dung lượng ổ cứng trống của các máy và kiểm tra xem máy nào trong mạng đang mở port 3389.
2 Các bước tiến hành
Vào mục Live Discovery ta truy cập
Overview > Threat Analysis Center và chọn Live Discover.
2.1 Xem dung lượng trống của ổ cứng các máy user
Ta enable chế độ Designer và click vào Create new query
Đặt tên cho query để save lại sử dụng cho lần sau. Chọn category là device. Chọn chế độ query từ live endpoint
Nhập query vào ô SQL. Lệnh query mình sẽ để ở cuối bài viết.
Chọn máy muốn query. Ở đây ta chọn 2 thiết bị
Bấm Run Query và xem kết quả
Ta lấy được kết quả dung lượng còn trống của ổ cứng.
Dòng device telemetry cho biết kết quả của các lệnh query: ở đây query hoàn thành 2 và không có lỗi nào xảy ra
2.2 Kiểm tra các máy đang mở port 3389
Ta tiến hành tạo query mới như mục 2.1
Nhập SQL như sau và Run Query để xem kết quả
Kết quả là chúng ta đã xem được máy nào mở port 3389. Bạn có thể click vào Pc đó và chọn Isolate để cách ly pc khỏi hệ thống mạng
Bài viết đến đây là hết rồi, các lệnh SQL trong bài mình để ở mục dưới. chúc các bạn demo thành công nhé.
3 Lệnh sử dụng trong bài viết
3.1 Osquery kiểm tra phần trăm đĩa cứng còn lại
SELECT
device_id Drive,
description,
boot_partition,
file_system,
printf(“%.2f”, (CAST (free_space AS FLOAT)/CAST(size AS FLOAT) ) * 100.0 ) || ‘%’ Percent_Free,
printf(“%.2f”, CAST(free_space AS FLOAT)/1024.0/1024.0/1024.0) ‘Free_Space(GB)’,
printf(“%.2f”, CAST(size AS FLOAT)/1024.0/1024.0/1024.0) ‘Size(GB)’,
type
FROM
logical_drives;
3.2 Osquery kiểm máy đang mở port 3389
SELECT
lp.address, lp.pid, lp.port, lp.protocol, p.name, p.path, p.cmdline
FROM listening_ports lp
JOIN processes p
ON lp.pid = p.pid
WHERE lp.port = 3389