Sophos XDR: Hướng dẫn tạo Query để kiểm tra các ứng dụng đã được cài đặt trên máy chủ hoặc máy trạm trong khoảng thời gian xác định

1.Mục đích bài viết

Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra các ứng dụng đã được cài đặt trên máy chủ hoặc máy trạm trong khoảng thời gian xác định.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

  • Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.
  • Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
  • Trong mạng LAN chúng ta sẽ có 1 thiết bị một là máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.

3.Tình huống cấu hình

Thực hiện tạo Query trên Sophos Central bằng tính năng Live Discover để kiểm tra danh sách ứng dụng đã được cài đặt trong khoảng thời gian xác định.

4.Các bước cấu hình

  • Tạo query.

5.Hướng dẫn cấu hình.

5.1.Tạo query

Để tạo query các bạn vào Threat Analysis Center > Live Discover.

Đầu tiên chúng ta sẽ bật Designer Mode.

Sau đó chúng ta nhấn Create new query để tạo query mới.

Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:

  • Query Name: đặt tên cho query này là Query List Software.
  • Category: chọn Device.
  • Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).
  • Tại ô SQL chúng ta nhập vào đoạn code dưới đây.
SELECT name, version, publisher, install_date,
install_location AS 'Install Path'
FROM Programs
WHERE NAME NOT LIKE 'Sophos%'
OR install_date = ''
AND install_date >= '$$StartDate$$'
AND install_date <= '$$EndDate$$'
ORDER BY install_date DESC
  • Tại Variable editor chúng ta nhấn Add variable để thêm thông số ngày giữa ngày bắt đầu và ngày kết thúc.
  • Ví dụ các bạn muốn xem danh sách các ứng dụng được cài đặt từ ngày 20 tháng 10 năm 2019 đến ngày 31 tháng 10 năm 2019 thì các bạn nhập StartDate là 20 tháng 10 và EndDate là 31 tháng 10 như hình sau:
  • Tại Device selector chúng ta chọn máy chủ đã được cài đặt Sophos Endpoint và nhấn Query.

Đợi vài giây thì kết quả query sẽ ra danh sách các phần mềm đã được cài đặt trong khoảng thời gian mà chúng ta đã nhập.

Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được là có ứng dụng lạ nào đang được cài đặt trên máy chủ server hay không hoặc người dùng có đang cài các ứng dụng không liên quan đến công việc vào máy hay không.

Đồng thời cũng cung cấp thời gian mà ứng dụng được cài đặt để người quản trị có thể dễ dàng truy vết.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận