Overview
Bài viết hướng dẫn cách cấu hình Query tìm kiếm Ip Facebook trên Sophos Firewall Datalake
Sophos XDR là một công cụ của Sophos để hỗ trợ quản trị viên trong việc tìm kiếm các thông tin cần thiết trong hệ thống mạng của mình bằng các câu lệnh query
Mô hình query
Hướng dẫn cấu hình
Bước 1: Tạo Custom Query
- Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query
- Đặt tên cho query của bạn
- Ở mục Category: Chọn category mà bạn muốn lưu query vào
- Ở mục Source: Chọn Datalake và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
- Ở mục SQL: Nhập đoạn code query
SELECT DISTINCT
app_name,
dst_ip
FROM
xgfw_data
WHERE
app_name like ‘%Facebook%’Nhấn Save
Bước 2: Thực hiện test query
- Chọn Query mà bạn đã tạo trước đó
- Ở mục Device selector: Chọn các máy tính mà bạn muốn query
- Nhấn Run Query
Bước 3: Kiểm tra kết quả
Chúng ta xem thông tin query được ở mục dưới.Chọn Export để xuất dữ liệu ra file csv