Sophos XDR: Hướng dẫn Query thông tin Bitlocker Status trên Endpoint.

Overview

Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Sử dụng Sophos XDR bạn sẽ nhận được 30 ngày lưu trữ trên cloud trong Sophos Data Lake, bên cạnh đó là tối đa 90 ngày dữ liệu được lưu trữ trực tiếp trên thiết bị cho các tìm kiếm lịch sử và thời gian thực. Vì vậy, ngay cả khi thiết bị offline, bạn vẫn có thể truy cập dữ liệu quan trọng của thiết bị đó để điều tra hoạt động đáng ngờ.

Mô hình Query.

Bài viết sẽ hướng dẫn các bạn query các thông tin Bitlocker sau khi triển khai Sophos Device Encyption trên các Endpoint.

Hướng dẫn

Bước 1: Custom Query Bitlocker Info.

Với Sophos XDR, đã có sẵn query về bitlocker info để bạn có thể query, nhưng bạn vẫn có thể custom lại query này để có thêm các thông tin chi tiết hơn.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query thông tin bitlocker mới.

SQL code:

SELECT device_id,drive_letter,percentage_encrypted, encryption_method, version, persistent_volume_id,
   CASE conversion_status
      WHEN 1 THEN ‘Fully Encrypted’
      WHEN 2 THEN ‘Encryption In Progress’
      WHEN 3 THEN ‘Decryption In Progress’
      WHEN 4 THEN ‘Encryption Paused’
      WHEN 5 THEN ‘Decryption Paused’
      ELSE ‘Fully Decrypted’
   END conversion_status,
   CASE protection_status
      WHEN 0 THEN ‘Protection Off’
      WHEN 1 THEN ‘Protection On’
      ELSE ‘Unknown’
   END protection_status,
   CASE lock_status
      WHEN 0 THEN ‘Unlocked’
      WHEN 1 THEN ‘Locked’
   END lock_status
FROM bitlocker_info;

Bước 2: Chọn Endpoint Query

Tiếp theo bạn chọn các Endpoint cần query hoặc chọn tất cả các endpoint. Sau đó click chọn Run Query

Tiếp tục chọn Run Query

Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.

Bước 3: Kiểm tra kết quả.

Bảng kết quả cho thấy, trên các endpoint đang có những ổ đĩa nào.

và Protection _status là OFF tức mà endpoint này chưa được cài Sophos Device Encyption. Còn Protection _status là ON thì endpoint đã cài Sophos Device Encyption với Full Encypted ổ đĩa C.