Tổng quan.
Số lượng thiết bị được quản lý trên Sophos Central của bạn sẽ tăng lên theo thời gian cùng với sự phát triển của doanh nghiệp và trong quá trình phát triển đó, một số thiết bị có thể không đã không còn được sử dụng.
Có nhiều lý do như thiết bị có thể đã ngừng hoạt động. Thiết bị được thiết lập như 1 máy để kiểm tra nhanh. Hoặc người dùng đã rời khỏi công ty,…
Dù lý do là gì, bạn cần có một quy trình mạnh mẽ để xử lý các thiết bị như vậy, dù bạn có thể thường xuyên kiểm tra và xóa thiết bị đó ngay tại thời điểm ngừng hoạt động, nhưng đôi khi sẽ có những thiết bị có thể đã lọt qua sự kiểm tra và đang nằm im trên Sophos Central.
Vậy tại sao cần xóa các thiết bị không còn hoạt động trên Sophos Central ?
Hiện tại Sophos Central Active Directory (AD) Sync Utility hỗ trợ đồng bộ hóa người dùng và nhóm người dùng AD, nhưng không hỗ trợ thiết bị và nhóm thiết bị. Điều này có nghĩa là hiện tại không có phương pháp nào để xóa các thiết bị cũ khỏi Sophos Central một cách tự động. Nếu có nhiều thiết bị cần xóa, bạn sẽ không muốn xóa các thiết bị này theo cách thủ công thông qua giao diện người dùng của Sophos Central.
Có hai lựa chọn. Đầu tiên là một quy trình thủ công sử dụng Sophos Central API để thu thập thông tin thiết bị và tham chiếu chéo các thiết bị đó theo cách thủ công với nguồn thiết bị của bạn. Bạn có thể tạo một tập lệnh sẽ xóa các thiết bị bằng cách sử dụng Sophos Central API.
Tùy chọn thứ hai vẫn sử dụng Sophos Central API để thu thập thông tin thiết bị, nhưng với lợi ích bổ sung là sử dụng công cụ Security Information and Event Management (SIEM) và Security Automation và Orchestration (SOAR) để làm tự động hóa từ đầu đến cuối.
Đối với tùy chọn thứ hai, bạn cần trả lời một số câu hỏi:
+ Bạn sẽ cần thu thập dữ liệu nào để giúp xác định liệu bạn có thể xóa thiết bị không?
+ Điều gì xảy ra nếu một máy đang hoạt động bị xóa tự động?
+ Bạn có những công cụ nào để hỗ trợ quá trình này?
Để trả lời những câu hỏi này, Sophos sẽ trình bày các thành phần cơ bản của quy trình như một khuôn mẫu để bạn triển khai vào môi trường và quy trình của riêng bạn. Để có cái nhìn tổng quan, dưới đây là sơ đồ quy trình.
Dữ liệu nào là cần thiết?
Đầu tiên và cũng là quan trọng nhất, bạn cần một nguồn xác định cho các thiết bị và đối với hầu hết các tổ chức, đây là AD. Bạn sẽ cần theo dõi những thay đổi mới nhất trong Disabled OU hoặc vị trí tương đương tùy thuộc vào cách tổ chức của bạn quản lý các thiết bị đã ngừng hoạt động và xây dựng lại quy trình. Các trường quan trọng từ nguồn dữ liệu này là:
- Hostname
- Domain
- Distinguished Name
- Operating System
- Operating System Build Number
Các trường chính từ dữ liệu này cho quá trình là:
- hostname
- id
- lastSeenAt
- os
- name
- build
- type
- associatedPerson
- name
- viaLogin
- tenant
- id
Cùng với nhau, các thông tin này sẽ tạo thành một cơ sở vững chắc để giúp xác định trong hệ thống là thiết bị nào là tiềm năng để xóa.
Làm cách nào bạn có thể xác thực dữ liệu AD và Sophos Central?
Dữ liệu được tương quan bằng cách sử dụng hostname và domain của thiết bị. Khi hai nguồn dữ liệu tương quan với nhau, bạn cần thiết lập một số phương pháp so sánh trước khi chuyển dữ liệu đến công cụ SOAR để xử lý nhằm đảm bảo có một số logic để xử lý các sự kiện.
Những câu hỏi nào đòi hỏi một số logic để trả lời?
Mục đích cho quá trình này là xóa các thiết bị không còn hoạt động khỏi Sophos Central. Để đạt được điều này mà không xóa các thiết bị hợp lệ, chúng ta cần nghĩ đến các tình huống có thể xảy ra khi chúng ta không muốn xóa thiết bị.
+ Xác định khoảng thời gian không hoạt động của thiết bị:
Mục đích của việc này là cho phép một khoảng thời gian không hoạt động hợp lý cho một hệ thống trong Disabled OU. Bằng cách chỉ trả lại những thiết bị không hoạt động trong một khoảng thời gian nhất định, sẽ ít có khả năng xóa một thiết bị có thể không cần xóa khỏi Sophos Central.
Chuyển đổi trường lastSeenAt trong Unix epoch time bằng cách sử dụng strptime, định dạng lastSeenAt là: “2019-09-23T12: 02: 01.700Z”
Tính số ngày kể từ khi thiết bị được nhìn thấy lần cuối: (now () Unix epoch – lastSeenAt Unix epoch) / 86400
+ Xác thực xem OS build có khớp hay không:
Có thể xảy ra trường hợp tên máy chủ và miền khớp với hệ thống mà OS build không khớp. Trong trường hợp này, thiết bị này phải được đặt cờ để can thiệp thủ công để tránh lỗi. Phương pháp tốt nhất là so sánh OS build của thiết bị với dữ liệu từ Sophos Central.
Tự động hóa
Hiện tại có một số hệ thống được xác định trong dữ liệu có thể bị xóa khỏi Sophos Central. Sử dụng nền tảng SOAR sẽ cho phép bạn chuyển từng sự kiện qua quy trình luồng để xác định điều gì sẽ xảy ra với thiết bị.
Bằng cách kiểm tra dữ liệu bạn có từ SIEM của mình với Sophos Central Endpoint API, bạn có thể xác nhận lần cuối rằng thiết bị thực sự không hoạt động và có thể bị xóa.
Ngoài khía cạnh tự động hóa của việc xóa thiết bị, bạn cũng cần thực hiện một số kiểm tra và có thể bao gồm một số tình huống để thực thi can thiệp thủ công trước khi có thể cho phép xóa.
Giám sát các thiết bị VIP:
Để tránh việc vô ý xóa thiết bị cho người dùng VIP, chúng tôi khuyên bạn nên gắn cờ các thiết bị này để can thiệp thủ công nhằm xác minh xem thiết bị có thể bị xóa khỏi Sophos Central hay không. Bạn có thể sử dụng một nhóm AD người dùng cụ thể để xác định những người dùng này là ai.
Các thiết bị đang hoạt động:
Sau khi so sánh hoạt động gần đây nhất của máy với dữ liệu từ SIEM và dữ liệu thu được thông qua truy vấn trực tiếp Sophos Central API , ta sẽ tính rằng thiết bị đã báo cáo lại Sophos Central gần đây. Những máy này nên được nâng lên để xác nhận thủ công trước khi chúng bị xóa.
Tránh trùng lặp trong quá trình xử lý:
Ghi nhật ký thiết bị nào đã bị xóa cho phép kiểm tra và loại trừ các thiết bị này khi đối chiếu thông tin khi bắt đầu quy trình.
Theo dõi quy trình đang hoạt động đã được thông qua để can thiệp thủ công:
Khi thiết bị yêu cầu can thiệp thủ công, bạn nên ghi lại những điều này và loại trừ khỏi quá trình xử lý trong tương lai khi ticket đang mở. Là một phần của can thiệp quy trình SOAR, điều này có thể được tự động hóa. Sau khi nhận được phản hồi liên quan, bạn có thể thực hiện thay đổi. Việc thiết bị có bị xóa hay không được ghi nhận và ticket được cập nhật, và nhật ký được xóa là đang hoạt động.
Theo dõi các lỗi xóa:
Bạn cũng nên gắn cờ các lỗi xóa hoặc xác minh thông tin thiết bị để có thể áp dụng biện pháp can thiệp thủ công cho những lỗi này.
Cách xử lý khi một thiết bị đang hoạt động đã bị xóa
Trong trường hợp thiết bị bị xóa không chính xác, cần thực hiện các bước sau để bảo vệ endpoint:
+ Nếu thiết bị chưa cài đặt Sophos Endpoint Protection, chỉ cần tải xuống trình cài đặt mới nhất từ Sophos Central và cài đặt nó vào endpoint.
+ Nếu endpoint đã được cài đặt Sophos Endpoint Protection và Tamper Protection chưa được bật, trước tiên hãy gỡ cài đặt Sophos Endpoint Protection và cài đặt bằng trình cài đặt mới nhất từ Sophos Central.
+ Nếu Sophos Endpoint Protection được cài đặt và bật Tamper Protection, hãy làm theo các bước bên dưới:
- Đăng nhập vào đúng Sophos Central
2. Đi tới: Logs & Reports > Endpoint & Server Protection > Recover Tamper Protection (Mật khẩu sẽ vẫn còn trong báo cáo trong 60 ngày sau khi xóa)
3. Tìm kiếm tên máy và nhấp vào ‘View details’ để xem mật khẩu Tamper Protection mới nhất đã hoạt động trên máy trước khi xóa
4. Mở giao diện người dùng Sophos Endpoint Protection UI trên thiết bị
5. Click vào ‘Admin login’ và nhập mật khẩu Tamper Protection.
6. Chọn ‘Settings’ và click chọn ‘Override Sophos Central Policy for up to 4 hours to troubleshoot’
7. Trong phần “Control on Users”, hãy tắt Tamper Protection
8. Gỡ cài đặt Sophos Endpoint Protection
9. Cài đặt lại Sophos Endpoint Protection bằng trình cài đặt mới nhất từ Sophos Central.
Một số mốc quan trọng bạn cần lưu ý là:
+ Trong nền tảng SOAR bạn đã chọn, hãy đảm bảo tắt tác vụ cuối cùng để xóa thiết bị trước khi kiểm tra.
+ Xác thực xem mỗi thiết bị có đáp ứng kết quả mong đợi hay không trước khi cam kết xóa.
+ Khi bắt đầu tự động hóa, hãy bắt đầu bằng cách xóa thiết bị từ từ. Điều này sẽ cho phép thời gian để tinh chỉnh thêm quy trình của bạn.
+ Liên hệ với AD admins và service desk teams để nhận phản hồi. Chúng có thể cung cấp cái nhìn tốt hơn và có giá trị về quy trình và làm nổi bật một điểm chính có thể đã bị bỏ qua.