Overview
Bài viết hướng dẫn cấu hình query kiểm tra phần mềm Chrome trên hệ thống máy trạm và máy chủ trong hệ thống của doanh nghiệp, để phát hiện được những phần mềm Chrome với phiên bản cũ có lỗ hổng CVE-2022-1364
Để từ các thông tin query được, ta sẽ dựa vào đó để cập nhật lên version 100.0.4896.127 mới nhất của Chrome để ngăn chặn lỗ hổng CVE-2022-1364
Sophos XDR có hỗ trợ query với Sophos Data Lake. Sophos Data Lake cung cấp dữ liệu về thiết bị của bạn được lưu trữ trên đám mây. Sau đó, bạn có thể sử dụng Sophos Live Discover để thực hiện các query như: Chạy các truy vấn bảo mật trên tất cả các thiết bị của bạn, ngay cả khi các thiết bị đang offline. Dữ liệu truy vấn trong 7 ngày qua hoặc 30 ngày qua (tùy thuộc vào license của bạn).
Lợi thế của query Data Lake là việc truy vấn dữ liệu sẽ nhanh hơn do không cần query xuống Endpoint để lấy thông tin.
Bài viết sẽ hướng dẫn các bạn sử dụng SQL code được custom bởi Sophos XDR để query tất cả thông tin của ứng dụng được cài đặt trên endpoint để so sánh với các phiên bản có lỗ hổng bảo mật đã biết sử dụng Data Lake
Mô hình query
Hướng dẫn cấu hình
Hướng dẫn
Bước 1: Tạo query code với Data Lake
- Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum
- Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover >Data Lake Queries
- Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn run query và kiểm tra kết quả.
- Để custom query bạn chọn Enable Designer Mode > Chọn Data Lake Queries > Create new query.
- Tiếp theo bạn điền các thông tin sau:
+ Query Name: Đặt tên cho query
+ Category: Chọn phân loại query
+ Chọn Data Lake
- Nhấn Add variable và điền các thông tin như sau
- Ở mục SQL code: Nhập đoạn code sau
WITH Counted_Apps AS (
WITH App_List AS (
SELECT DISTINCT meta_hostname, name, version, publisher, install_date
FROM xdr_data
WHERE query_name = ‘windows_programs’ AND name > ” AND
LOWER(name) LIKE LOWER(‘%$$Application Name$$%’) AND LOWER(version) LIKE LOWER(‘%$$Application Version$$%’) AND
LOWER(publisher) LIKE LOWER (‘%$$Publisher Name$$%’) AND LOWER(meta_hostname) LIKE LOWER (‘%$$Host Name$$%’)
)
— WHEN Name, version and Publisher are wildcards group by publisher and put the name, version and devices info into a list
SELECT
publisher, COUNT(meta_hostname) Instances,
array_join(array_agg(DISTINCT name), ‘,’||CHR(10)) App_name_List,
array_join(array_agg(DISTINCT version), ‘,’||CHR(10)) version_LIST,
array_join(array_agg(DISTINCT meta_hostname), ‘,’||CHR(10)) DeviceName_LIST, MIN(install_date) Earliest_Install, MAX(install_date) Last_Install
FROM App_List WHERE
‘$$Application Name$$’ = ‘%’ AND ‘$$Application Version$$’ = ‘%’ AND ‘$$Publisher Name$$’ = ‘%’
GROUP BY publisher
UNION ALL
— In all other instances breach out everything on their own line, only grouping the device info
SELECT
publisher, COUNT(meta_hostname) Instances,
name,
version,
array_join(array_agg(DISTINCT meta_hostname), ‘,’||CHR(10)) DeviceName_LIST, MIN(install_date) Earliest_Install, MAX(install_date) Last_Install
FROM App_List WHERE
(‘$$Application Name$$’ <> ‘%’ OR ‘$$Application Version$$’ <> ‘%’ OR ‘$$Publisher Name$$’ <> ‘%’)
GROUP BY publisher, name, version
)
SELECT DISTINCT * FROM Counted_Apps ORDER BY publisher ASC
- Click Run Query
Bước 2: Kiểm tra kết quả
- Sau khi query xong, bạn sẽ có các thông tin version của các ứng dụng được tích hợp trong query code của từng endpoint có dữ liệu trên Data Lake.
