Overview
Sophos Extended Detection and Response (XDR) cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất
Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được toàn bộ hệ thống máy trạm, máy chủ để đưa ra được những thông tin về việc máy nào đã được cài Sophos certificate rồi, điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra
Mô hình Query
Hướng dẫn cấu hình
Bước 1: Tạo Custom Query
- Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query
- Đặt tên cho query của bạn
- Ở mục Category: Chọn category mà bạn muốn lưu query vào
- Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community)
- Ở mục Show variable editor: Nhấn Add variable
- Nhập variable với common_name và store_location: Giá trị sẽ là Sophos certificate của thiết bị Sophos XGS của bạn và LocalMachine nếu là môi trường workgroup
- Ở mục SQL: Nhập đoạn code query
SELECT
common_name,
subject,
issuer,
ca,
self_signed,
not_valid_before,
not_valid_after,
signing_algorithm,
key_algorithm,
key_strength,
key_usage,
subject_key_id,
authority_key_id,
sha1,
path,
serial,
sid,
store_location,
store,
username,
store_id
FROM certificates
WHERE
common_name LIKE ‘$$common_name$$’
AND store_location LIKE ‘$$store_location$$’
- Nhấn Save
Bước 2: Thực hiện test query
- Chọn Query mà bạn đã tạo trước đó
- Ở mục Device selector: Chọn các máy tính mà bạn muốn query
- Nhấn Run Query
Bước 3: Kiểm tra kết quả