Overview
Bài viết hướng dẫn cách cấu hình Query tìm kiếm các user có quyền administrator trên máy trạm hoặc server bằng việc sử dụng Sophos XDR
Sophos XDR là một công cụ của Sophos để hỗ trợ quản trị viên trong việc tìm kiếm các thông tin cần thiết trong hệ thống mạng của mình bằng các câu lệnh query
Mô hình query
Hướng dẫn cấu hình
Bước 1: Tạo Custom Query
- Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query
- Đặt tên cho query của bạn
- Ở mục Category: Chọn category mà bạn muốn lưu query vào
- Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
- Ở mục SQL: Nhập đoạn code query
SELECT username, groupname, type, u.UID, g.GID, Description, comment
FROM users u
JOIN user_groups ug ON ug.UID = u.UID
JOIN groups g ON g.GID = ug.GID
WHERE g.GROUPNAME = “Administrators”
AND u.type = “local”;
- Nhấn Save
Bước 2: Thực hiện test query
- Chọn Query mà bạn đã tạo trước đó
- Ở mục Device selector: Chọn các máy tính mà bạn muốn query
- Nhấn Run Query
Bước 3: Kiểm tra kết quả