1.Mục đích bài viết
Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra số lần đăng nhập sai vào máy chủ và máy trạm chạy Windows trong thời gian xác định.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.
- Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
- Trong mạng LAN chúng ta sẽ có 2 thiết bị một là máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.
- Hai là PC chạy Windows 10 tên DESKTOP-HP5D580 có IP 172.16.16.17/24 và cũng đã được cài đặt Sophos Endpoint.
3.Tình huống cấu hình
Thực hiện tạo Query trên Sophos Central bằng tính năng Live Discover để kiểm tra xem số lần đăng nhập sai trên 2 thiết bị DESKTOP-HP5D580 và máy chủ WIN-V3N9Q4OC2GG.
4.Các bước cấu hình
- Tạo query.
5.Hướng dẫn cấu hình.
5.1.Tạo query
Để tạo query các bạn vào Threat Analysis Center > Live Discover.
Đầu tiên chúng ta sẽ bật Designer Mode.
Sau đó chúng ta nhấn Create new query để tạo query mới.
Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:
- Query Name: đặt tên cho query này là Login Failed attempts Query For WINDOWS.
- Category: chọn Device.
- Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).
- Tại ô SQL chúng ta nhập vào đoạn code dưới đây.
SELECT
datetime(time,’unixepoch’,’localtime’) as ‘Time’,
eventid,
task_message,
json_extract(data,’$.EventData.FailureReason’)as FailureReason,
json_extract(data,’$.EventData.TargetUserName’) as UserName
FROM sophos_windows_events
WHERE eventid=’4625′ AND UserName <> ” AND time > STRFTIME(‘%H’,’NOW’,’24 hours’);
Chúng ta cần chú ý đến dòng cuối của đoạn sql query, ở đoạn này đang để là 24 hours tức là nó sẽ query số lần đăng nhập sai từ thời điểm nhấn Run Query lùi về 24 giờ trước đó.
Bạn có thể tùy chỉnh thông tin này để tăng thời gian, còn trong bài viết này mình sẽ để là 24 giờ.
- Tại Device selector chúng ta chọn máy tính và máy chủ đã được cài đặt Sophos Endpoint và nhấn Query.
Đợi vài giây thì kết quả query sẽ ra số lần đăng nhập sai trên cả hai máy.
Đây là số lần đăng nhập sai trên máy windows 10.
Đây là số lần đăng nhập sai trên máy chủ.
Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được số lần đăng nhập sai trên cả máy chủ và máy trạm, cung cấp đầy đủ thông về thời gian nào thì lần đăng nhập sai đó xảy ra, họ đăng nhập bằng user nào.
Từ đó giúp người quản trị có thể nhanh chóng truy vết và kịp thời phát hiện các sự cố về bảo mật như dò password của máy chủ bằng Brute Force hoặc có người nào đó đang cố tình dò mật khẩu máy tính cá nhân.