Overview
Bài viết hướng dẫn cấu hình query kiểm tra các addons được cài trên web browser Firefox
Sophos XDR có hỗ trợ query với Sophos Data Lake. Sophos Data Lake cung cấp dữ liệu về thiết bị của bạn được lưu trữ trên đám mây. Sau đó, bạn có thể sử dụng Sophos Live Discover để thực hiện các query như: Chạy các truy vấn bảo mật trên tất cả các thiết bị của bạn, ngay cả khi các thiết bị đang offline. Dữ liệu truy vấn trong 7 ngày qua hoặc 30 ngày qua (tùy thuộc vào license của bạn).
Lợi thế của query Data Lake là việc truy vấn dữ liệu sẽ nhanh hơn do không cần query xuống Endpoint để lấy thông tin.
Bài viết sẽ hướng dẫn các bạn sử dụng SQL code được custom bởi Sophos XDR để query tất cả thông tin của ứng dụng được cài đặt trên endpoint để so sánh với các phiên bản có lỗ hổng bảo mật đã biết sử dụng Data Lake
Mô hình query
Hướng dẫn thực hiện
Bước 1: Tạo Custom Query
- Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query
- Đặt tên cho query của bạn
- Ở mục Category: Chọn category mà bạn muốn lưu query vào
- Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
- Ở mục SQL: Nhập đoạn code query
SELECT DISTINCT
firefox_addons.name,
users.username,
firefox_addons.identifier,
firefox_addons.creator,
firefox_addons.type,
firefox_addons.version,
firefox_addons.description,
firefox_addons.source_url,
firefox_addons.visible,
firefox_addons.active,
firefox_addons.disabled,
firefox_addons.autoupdate,
firefox_addons.native,
firefox_addons.location,
firefox_addons.path
FROM users
LEFT JOIN firefox_addons
USING (uid)
WHERE firefox_addons.name IS NOT NULL
- Nhấn Save
Bước 2: Thực hiện test query
- Chọn Query mà bạn đã tạo trước đó
- Ở mục Device selector: Chọn các máy tính mà bạn muốn query
- Nhấn Run Query
Bước 3: Kiểm tra kết quả