Sophos XDR: Hướng dẫn query kiểm tra các port mạng đang mở trên máy trạm và máy chủ

Overview

Sophos Extended Detection and Response (XDR)  cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất

Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được toàn bộ các port mạng đang được mở trên các máy trạm, máy chủ. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra

Mô hình query

Hướng dẫn cấu hình

Bước 1: Tạo Custom Query

  • Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query
  • Đặt tên cho query của bạn
  • Ở mục Category: Chọn category mà bạn muốn lưu query vào
  • Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community
  • Ở mục SQL: Nhập đoạn code query

SELECT
pid,
port,
protocol,
family,
address
FROM listening_ports

  • Nhấn Save

Bước 2: Thực hiện test query

  • Chọn Query mà bạn đã tạo trước đó
  • Ở mục Device selector: Chọn các máy tính mà bạn muốn query
  • Nhấn Run Query

Bước 3: Kiểm tra kết quả

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận