Overview
Sophos Extended Detection and Response (XDR) cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.
Mô hình Query
Bài viết sẽ hướng dẫn các bạn sử dụng SQL code query để check thông tin các service có đang Running hay đã Stopped trên Endpoint.
Hướng dẫn
Bước 1: Custom Query check Service.
Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum
Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.
Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.
Để custom query bạn chọn Enable Designer Mode > Create new query.
Tiếp theo bạn điền các thông tin sau:
+ Query Name: Đặt tên cho query
+ Category: Chọn phân loại query
+ Điền miêu tả nếu bạn muốn.
Kéo xuống chọn Live Endpoint > Windows.
Phần SQL: Bạn nhập code query một Service cụ thể như Sophos.
SQL code:
Note: Bạn có thể thay đổi “display_name” – Check Service Sophos, Windows, Microsoft,…
“status” RUNNING hoặc STOPPED.
SELECT
name,
display_name,
start_type,
path,
status,
user_account
FROM services
WHERE display_name like ‘%Sophos%’
AND status = ‘RUNNING’;
Bước 2: Chọn Endpoint Query
Tiếp theo bạn chọn Endpoint cần query. Sau đó click chọn Run Query
Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.
Bước 3: Kiểm tra kết quả.
Kết quả sẽ show tất cả các Service Sophos đang Running.
Bạn cũng có thể chỉnh để query lại Service khác như Windows — Status là “STOPPED” để chẹc các Service Windows đang bị stop.
Kết quả chạy query. List các Windows Service đang bị Stop.
