1.Overview.
Live Discover là một tính năng cho phép quản trị viên có được khả năng lấy các thông tin của Endpoint trong hệ thống mạng. Nó cho phép truy cập trực tiếp vào một thiết bị để hiểu trạng thái chạy hiện tại và hoạt động lịch sử của nó.
Live Discover dựa trên osquery, một dự án mã nguồn mở cho phép quản trị viên hiểu được trạng thái đang chạy hiện tại của thiết bị. Nó sử dụng các truy vấn SQL để lấy các thông tin của thiết bị.
Bài viết hôm nay sẽ hướng dẫn các bạn query để lấy các thông tin của thiết bị như version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU,… được cài Sophos Endopoint trong hệ thống mạng.
2. Hướng dẫn.
Bước 1: Tạo code query.
Bạn đăng nhập vào Sophos Central Admin > Threat Analysis Center > Live Discover.
Ở đây Sophos đã cung cấp các category (Device, File, Event,…) có sẵn để người dùng có thể dùng để query các thông tin trên máy trạm và máy chủ. Ngoài các category có sẵn, Sophos cũng cho phép bạn custom các query theo ý bạn muốn.
Bạn click chọn bật Designer Mode > click Create New Query.
Query name: Đặt tên cho query bạn muốn tạo.
Ví dụ: Device Activity (Multiple queries in one)
Category: chọn category cho query này. Ex: Device
Soucre: click chọn Live Endpoint (chọn Window/Mac/Linux)
SQL: Bạn nhập code query bạn muốn tìm kiếm thông tin.
Ví dụ: Bạn có thể truy cập đường link này để lấy code query.
Link: https://community.sophos.com/intercept-x-endpoint/i/device/device-activity-multiple-queries-in-one
Bước 2: Chọn Device để query.
Trong phần Device Selector, bạn click icon hình tam giác. Click chọn các endpoint bạn cần query thông tin.
Chọn Run Query.
Nếu hiện lên thông báo này. Tiếp tục click chọn Run Query.
Bạn đợi quá trình query lấy thông tin trên thiết bị hoàn thành.
Bước 3: Check kết quả query
Sau khi query, bạn sẽ có các thông tin về thiết bị như: Version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, Các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU, thời gian reboot gần đây.
Ngoài ra còn có các hoạt động của user như sử dụng cmd, onedrive,..