Sophos XDR: Hướng dẫn Query Check các Account Event trên Endpoint.

Post published:10/14/2021
Post category:Sophos XDR
Post comments:0 Comments

Overview

Sophos Extended Detection and Response (XDR) cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Mô hình Query

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code để query và truy xuất các sự kiện tạo, xóa và đặt lại mật khẩu tài khoản của cả computer và Server.

Hướng dẫn

Bước 1: Custom Query check Account Event.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query account event.

SQL code:

Note: Cần nhập thêm biến (Variable — $$Days$$ — String).

SELECT
datetime(swe.time,'unixepoch') Date_Time,
json_extract(swe.data, '$.EventData.TargetUserName') AS User_Name,
CASE swe.eventid
WHEN '4720' THEN 'Created'
WHEN '4724' THEN 'Passwort Reset'
WHEN '4726' THEN 'Deleted'
END 'Action',
json_extract(swe.data, '$.EventData.SubjectUserName') AS By,
swe.data AS Details
FROM sophos_windows_events swe
WHERE eventid IN ('4720','4724','4726') AND time >= strftime('%s','now','-$$Days$$ days')