1.Mục đích bài viết
Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra số phiên Remote Desktop đã được truy cập trong N ngày gần nhất.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.
- Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
- Trong mạng LAN chúng ta sẽ có máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.
3.Tình huống cấu hình
Chúng ta sẽ tạo query và chạy query này trên máy chủ WIN-V3N9Q4OC2GG để kiểm tra số phiên Remote Desktop trong N ngày gần nhất.
4.Các bước cấu hình
- Tạo query.
5.Hướng dẫn cấu hình
5.1.Tạo query
Để tạo query các bạn vào Threat Analysis Center > Live Discover.
Đầu tiên chúng ta sẽ bật Designer Mode.
Sau đó chúng ta nhấn Create new query để tạo query mới.
Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:
- Query Name: đặt tên cho query này là List of RDP Sessions in last N Days.
- Category: chọn Device.
- Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).
- Tại ô SQL chúng ta nhập vào đoạn code dưới đây.
SELECT
datetime(time,'unixepoch') 'Date-Time',
(strftime('%s','now')-time)/(3600*24) 'Days ago' ,eventid, 'TS Remote' AS Source,
JSON_EXTRACT(data, '$.UserData.Param1') AS Name,
JSON_EXTRACT(data, '$.UserData.Param2') AS Source_Machine_Network,
JSON_EXTRACT(data, '$.UserData.Param3') AS Source_IP
FROM sophos_windows_events
WHERE source = 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' AND
eventid = 1149 AND
time > strftime('%s', 'now', '-$$Days to look back from now$$ days');
- Tại Variable editor chúng ta nhấn Add variable để thêm thông số ngày như hình sau.
- Tại Enter value to use when query run các bạn nhập số ngày vào ô này, ví dụ các bạn kiểm tra xem trong 10 ngày gần nhất tính từ lúc bạn chạy query thì có bao nhiêu phiên Remote Desktop đã truy cập đến máy chủ này.
- Tại Device selector chúng ta chọn máy chủ WIN-V3N9Q4OC2GG đã được cài đặt Sophos Endpoint và nhấn Query.
Đợi vài giây thì kết quả query sẽ hiển thị ra tài khoản admin1 mà chúng ta vừa tạo kèm theo thời gian tạo.
Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được có bao nhiêu phiên Remote Desktop trong một khoảng thời gian xác định.
Từ đó giúp chúng ta có xác định được nguy cơ hacker đang âm thầm chiếm quyền của máy chủ.