Overview
Sophos Extended Detection and Response (XDR) cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.
Mô hình Query
Bài viết sẽ hướng dẫn các bạn sử dụng SQL code để query và truy xuất các sự kiện tạo, xóa và đặt lại mật khẩu tài khoản của cả computer và Server.
Hướng dẫn
Bước 1: Custom Query check Account Event.
Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum
Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.
Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.
Để custom query bạn chọn Enable Designer Mode > Create new query.
Tiếp theo bạn điền các thông tin sau:
+ Query Name: Đặt tên cho query
+ Category: Chọn phân loại query
+ Điền miêu tả nếu bạn muốn.
Kéo xuống chọn Live Endpoint > Windows.
Phần SQL: Bạn nhập code query account event.
SQL code:
Note: Cần nhập thêm biến (Variable — $$Days$$ — String).
SELECT
datetime(swe.time,'unixepoch') Date_Time,
json_extract(swe.data, '$.EventData.TargetUserName') AS User_Name,
CASE swe.eventid
WHEN '4720' THEN 'Created'
WHEN '4724' THEN 'Passwort Reset'
WHEN '4726' THEN 'Deleted'
END 'Action',
json_extract(swe.data, '$.EventData.SubjectUserName') AS By,
swe.data AS Details
FROM sophos_windows_events swe
WHERE eventid IN ('4720','4724','4726') AND time >= strftime('%s','now','-$$Days$$ days')
Trong SQL code này bạn cần thêm biến để có thể sử dụng. Click chọn Show variable editor > Add variable.
Biến cần thêm là “Days”. Bạn có thể nhận biết các biến cần tạo có dạng “$$….$$“
+ Variable type: String.
+ Enter value to use when query runs: Bạn nhập số ngày cần check về Account Event. Ex: 30 ngày
Bước 2: Chọn Endpoint Query
Tiếp theo bạn chọn các Endpoint cần query. Sau đó click chọn Run Query.
Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.
Bước 3: Kiểm tra kết quả.
Sau khi chạy xong query. Bạn sẽ có các thông tin như thời gian, username, Action,…các Account Event đã được ghi nhận trong 30 ngày.