Live Discover là một tính năng cho phép quản trị viên có được khả năng lấy các thông tin của Endpoint trong hệ thống mạng. Nó cho phép truy cập trực tiếp vào một thiết bị để hiểu trạng thái chạy hiện tại và hoạt động lịch sử của nó.

Live Discover dựa trên osquery, một dự án mã nguồn mở cho phép quản trị viên hiểu được trạng thái đang chạy hiện tại của thiết bị. Nó sử dụng các truy vấn SQL để lấy các thông tin của thiết bị.

Bài viết hôm nay sẽ hướng dẫn các bạn query để lấy các thông tin theo file type (.docx, .exe, .zip,…) trong các thư mục cụ thể trên endpoint.

2. Hướng dẫn

Bước 1: Tạo new query.

Bạn đăng nhập vào Sophos Central Admin > Threat Analysis Center > Live Discover.

Ở đây Sophos đã cung cấp các category (Device, File, Event,…) có sẵn để người dùng có thể dùng để query các thông tin trên máy trạm và máy chủ. Ngoài các category có sẵn, Sophos cũng cho phép bạn custom các query theo ý bạn muốn.

Bạn click chọn bật Designer Mode > click Create New Query.

Query name: Đặt tên cho query bạn muốn tạo.

Ví dụ: Search subfolders for a specific filename or extension

Category: chọn category cho query này. Ex: File

Soucre: click chọn Live Endpoint (chọn Window/Mac/Linux)

SQL: Bạn nhập code query bạn muốn tìm kiếm thông tin.

Ví dụ: Tìm kiếm các file có đuôi .exe trên desktop của Endpoint

SELECT
  path,
  directory,
  filename,
  device,
  size
FROM file
WHERE directory LIKE ‘C:\users\%\desktop%%’ AND filename LIKE ‘%%.exe’

Bước 2: Chọn Device để query.

Trong phần Device Selector, bạn click icon hình tam giác. Click chọn các endpoint bạn cần query thông tin.

Chọn Run Query.

Nếu hiện lên thông báo này. Tiếp tục click chọn Run Query.

Bạn đợi quá trình query lấy thông tin trên thiết bị hoàn thành.

Bước 3: Check kết quả query

Sau khi query, bạn sẽ có các thông tin về các file có đuôi .exe trên các endpoint được chọn.

Bạn có thể thay đổi file type trong phần code “LIKE ‘%%.zip” và đường dẫn tìm kiếm chuyển sang thư mục “downloads“.

Kết quả.

Hoặc thay đổi đuôi file.pdf

Live Discover là một tính năng cho phép quản trị viên có được khả năng lấy các thông tin của Endpoint trong hệ thống mạng. Nó cho phép truy cập trực tiếp vào một thiết bị để hiểu trạng thái chạy hiện tại và hoạt động lịch sử của nó.

Live Discover dựa trên osquery, một dự án mã nguồn mở cho phép quản trị viên hiểu được trạng thái đang chạy hiện tại của thiết bị. Nó sử dụng các truy vấn SQL để lấy các thông tin của thiết bị.

Bài viết hôm nay sẽ hướng dẫn các bạn query để lấy các thông tin của thiết bị như version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU,… được cài Sophos Endopoint trong hệ thống mạng.

2. Hướng dẫn.

Bước 1: Tạo code query.

Bạn đăng nhập vào Sophos Central Admin > Threat Analysis Center > Live Discover.

Ở đây Sophos đã cung cấp các category (Device, File, Event,…) có sẵn để người dùng có thể dùng để query các thông tin trên máy trạm và máy chủ. Ngoài các category có sẵn, Sophos cũng cho phép bạn custom các query theo ý bạn muốn.

Bạn click chọn bật Designer Mode > click Create New Query.

Query name: Đặt tên cho query bạn muốn tạo.

Ví dụ: Device Activity (Multiple queries in one)

Category: chọn category cho query này. Ex: Device

Soucre: click chọn Live Endpoint (chọn Window/Mac/Linux)

SQL: Bạn nhập code query bạn muốn tìm kiếm thông tin.

Ví dụ: Bạn có thể truy cập đường link này để lấy code query.

Link: https://community.sophos.com/intercept-x-endpoint/i/device/device-activity-multiple-queries-in-one

Bước 2: Chọn Device để query.

Trong phần Device Selector, bạn click icon hình tam giác. Click chọn các endpoint bạn cần query thông tin.

Chọn Run Query.

Nếu hiện lên thông báo này. Tiếp tục click chọn Run Query.

Bạn đợi quá trình query lấy thông tin trên thiết bị hoàn thành.

Bước 3: Check kết quả query

Sau khi query, bạn sẽ có các thông tin về thiết bị như: Version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, Các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU, thời gian reboot gần đây.

Ngoài ra còn có các hoạt động của user như sử dụng cmd, onedrive,..

Đối với nhiều tổ chức, máy Mac là thiết bị cố định thường xuyên trong các phòng CNTT của họ. Cho dù chúng chỉ bao gồm một vài thiết bị hay một tỷ lệ đáng kể, máy Mac cần mức độ bảo vệ an ninh mạng và khả năng hiển thị giống như người anh em Windows của chúng.

Đó là lý do tại sao ngoài khả năng bảo vệ đã được chứng minh khỏi các mối đe dọa mới nhất, Endpoint Detection and Response (EDR) hiện đã có sẵn cho người dùng Mac ngoài Windows và Linux.

Intercept X Advanced với EDR cung cấp cho cả quản trị viên CNTT và các chuyên gia an ninh mạng khả năng thực hiện các hoạt động CNTT quan trọng và các câu hỏi về truy tìm mối đe dọa, sau đó thực hiện bất kỳ hành động cần thiết nào từ xa.

Vậy Sophos Endpoint Detection and Response mang đến cho người dùng Mac những lợi ích gì ? Chúng ta hãy cùng tìm hiểu nhé.

2. Nâng cấp các hoạt động bảo mật CNTT của bạn

Việc tìm và dọn dẹp các rủi ro của hệ thống CNTT đòi hỏi một khoản đầu tư thời gian đáng kể cho quản trị viên CNTT. Người quản trị viên cần phải xác định thiết bị nào đang trong tình trạng có thể bị tấn công và hành động nào cần thực hiện để có thể giải quyết vấn đề đó.

Với Sophos EDR, giờ đây bạn có thể làm điều đó – nhanh chóng và dễ dàng. Ví dụ:

• Tìm thiết bị có lỗ hổng phần mềm, dịch vụ không xác định đang chạy hoặc tiện ích mở rộng trình duyệt trái phép.
• Xác định thiết bị có phần mềm không mong muốn.
• Xem phần mềm đã được triển khai trên các thiết bị chưa, ví dụ: để đảm bảo quá trình cài đặt hoàn tất.
• Truy cập từ xa vào các thiết bị để tìm hiểu sâu hơn và thực hiện hành động, chẳng hạn như cài đặt phần mềm, chỉnh sửa tệp cấu hình và khởi động lại thiết bị.

3. Tìm kiếm và vô hiệu hóa các mối đe dọa

Theo dõi các mối đe dọa tinh vi, lảng tránh đòi hỏi một công cụ có khả năng phát hiện ngay cả những dấu hiệu xâm nhập nhỏ nhất.

Với bản phát hành này, Sophos EDR đang tăng cường đáng kể khả năng săn tìm mối đe dọa của mình. Ví dụ:

• Phát hiện các quy trình cố gắng tạo kết nối trên các cổng mạng bất thường.
• Nhận chi tiết cụ thể về các lần thực thi tập lệnh không mong muốn.
• Xác định các quy trình đã tạo tệp hoặc sửa đổi tệp cấu hình.
• Truy cập từ xa vào một thiết bị để triển khai các công cụ pháp y bổ sung, chấm dứt các quy trình đáng ngờ và chạy các tập lệnh hoặc chương trình.

4. Giới thiệu tính năng Live Discover và Live Response

Các tính năng có thể giúp giải quyết tất cả các ví dụ quan trọng ở trên là Live Discover và Live Response.

Live Discover cho phép bạn kiểm tra dữ liệu của mình cho hầu hết mọi câu hỏi mà bạn có thể nghĩ ra bằng cách tìm kiếm trên các thiết bị Mac với các truy vấn SQL. Bạn có thể chọn từ một loạt các truy vấn có sẵn, có thể được tùy chỉnh hoàn toàn để lấy thông tin chính xác mà bạn cần, cả khi thực hiện các tác vụ kiểm tra bảo mật CNTT và các nhiệm vụ tìm kiếm mối đe dọa. Dữ liệu được lưu trữ trên đĩa lên đến 90 ngày, có nghĩa là thời gian phản hồi truy vấn nhanh chóng và hiệu quả.

Live Response là một giao diện dòng lệnh có thể truy cập từ xa vào các thiết bị để thực hiện điều tra thêm hoặc thực hiện hành động thích hợp. Ví dụ:

• Khởi động lại thiết bị đang chờ cập nhật.
• Chấm dứt các quy trình đáng ngờ.
• Duyệt qua hệ thống tệp.
• Chỉnh sửa tệp cấu hình.
• Chạy các tập lệnh và chương trình.
• Và tất cả đều được thực hiện từ xa, vì vậy, đây là điều lý tưởng trong các tình huống làm việc mà bạn có thể không có quyền truy cập thực tế vào thiết bị cần chú ý.

5. Dùng thử các tính năng này ở đâu ?

Khách hàng hiện đang sử dụng Intercept X Advanced with EDR sẽ tự động thấy thiết bị Mac của họ xuất hiện khi sử dụng tính năng Live Discover và Live Response trước ngày 16 tháng 9.

Đối với những khách hàng đang sử dụng Intercept X và Intercept X for Server muốn dùng thử chức năng EDR có thể truy cập bảng điều khiển Sophos Central, chọn ‘Free Trials’ ở menu bên trái và chọn ‘Intercept X Advanced with EDR’ hoặc ‘Intercept X Advanced for Server woth EDR ‘ để dùng thử.

Nếu bạn là người mới sử dụng Sophos Central, hãy bắt đầu dùng thử miễn phí Intercept X Advanced với EDR ngay hôm nay. Bạn sẽ nhận được sự bảo vệ đẳng cấp thế giới chống lại các mối đe dọa an ninh mạng mới nhất ngoài khả năng EDR mạnh mẽ. Bắt đầu.

Live Discover và Live Response hiện đã có sẵn cho các thiết bị Windows, Mac và Linux.