Sophos XDR: Hướng dẫn tạo Query để kiểm tra có tài khoản admin mới nào được tạo trên máy chủ hay không

1.Mục đích bài viết

Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra trạng xem liệu có tài khoản admin nào được tạo mới trên máy chủ hay không.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

  • Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.
  • Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
  • Trong mạng LAN chúng ta sẽ có máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện tạo mới 1 tài khoản admin trên máy chủ WIN-V3N9Q4OC2GG và sau đó tạo dùng tính năng Live Discover của Sophos Central để tạo query kiểm tra xem có phát hiện được tài khoản admin vừa tạo hay không.

4.Các bước cấu hình

  • Tạo tài khoản admin trên máy chủ WIN-V3N9Q4OC2GG.
  • Tạo query.

5.Hướng dẫn cấu hình

5.1.Tạo tài khoản admin trên máy chủ WIN-V3N9Q4OC2GG.

Để tạo tài khoản admin mới trên máy chủ chúng ta cần bật Server Manager.

Sau đó nhấn Tools > Active Directory Users and Computers.

Sau đó nhấp chuột vào Users > chọn New > User.

Chúng ta điền thông tin user cần tạo như sau:

  • First name: admin1.
  • User logon name: admin1
  • Nhấn Next.

Tiếp theo đặt password cho tài khoản và nhấn Next.

Nhấn Finish để hoàn thành việc tạo tài khoản.

Để tài khoản này trở thành tài khoản admin chúng ta cần thêm tài khoản này vào group Administrators.

Để thêm chúng ta nhấp phải chuột vào tài khoản admin > Add to group.

Bảng Select Groups hiện lên, tại Enter the object name to select chúng ta nhập admin vào ô và nhấn Check Names.

Lúc này group Administrator sẽ hiện ra chúng ta nhấn OK.

Thông báo thêm thành công tài khoản admin1 vào group Administrators sẽ hiện ra.

Như vậy là chúng ta đã tạo thành công tài khoản admin mới là admin1.

5.2.Tạo query

Để tạo query các bạn vào Threat Analysis Center > Live Discover.

Đầu tiên chúng ta sẽ bật Designer Mode.

Sau đó chúng ta nhấn Create new query để tạo query mới.

Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:

  • Query Name: đặt tên cho query này là Identify New Admin Account.
  • Category: chọn Device.
  • Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).
  • Tại ô SQL chúng ta nhập vào đoạn code dưới đây.
SELECT
   u.username,
   (SELECT datetime FROM sophos_windows_events WHERE eventid = '4720' AND json_extract(json_extract(data, '$.EventData'),'$.TargetSid') = u.uuid ) Creation_Date,
   u.description,
   u.directory,
   u.shell,
   u.uuid,
   u.type,
   ug.uid
FROM user_groups ug
   JOIN users u ON u.uid = ug.uid
WHERE ug.gid = 544 AND
   (SELECT time FROM sophos_windows_events WHERE eventid = '4720' AND json_extract(json_extract(data, '$.EventData'),'$.TargetSid') = u.uuid ) > strftime('%s','NOW','-$$Days$$ days');
  • Tại Variable editor chúng ta nhấn Add variable để thêm thông số ngày như hình sau.
  • Tại Enter value to use when query run các bạn nhập số ngày vào ô này, ví dụ các bạn kiểm tra xem trong 10 ngày gần nhất tính từ lúc bạn chạy query thì có tài khoản admin mới nào được tạo hay không thì bạn sẽ 10 vào ô này.

  • Tại Device selector chúng ta chọn máy chủ WIN-V3N9Q4OC2GG đã được cài đặt Sophos Endpoint và nhấn Query.

Đợi vài giây thì kết quả query sẽ hiển thị ra tài khoản admin1 mà chúng ta vừa tạo kèm theo thời gian tạo.

Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được xem có tài khoản admin mới nào được tạo trong máy chủ hay không.

Từ đó giúp chúng ta có xác định được nguy cơ hacker đang âm thầm chiếm quyền của máy chủ.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận