Ngoài việc chạy các query đến các thiết bị endoint, Sophos còn hỗ trợ query với Sophos Data Lake. Sophos Data Lake cung cấp dữ liệu về thiết bị của bạn được lưu trữ trên đám mây. Sau đó, bạn có thể sử dụng Sophos Live Discover để thực hiện các query như: Chạy các truy vấn bảo mật trên tất cả các thiết bị của bạn, ngay cả khi các thiết bị đang offline. Dữ liệu truy vấn trong 7 ngày qua hoặc 30 ngày qua (tùy thuộc vào license của bạn). 

Lợi thế của query Data Lake là việc truy vấn dữ liệu sẽ nhanh hơn do không cần query xuống Endpoint để lấy thông tin.

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code được custom bởi Sophos XDR để query check list versions của ứng dụng được cài đặt trên endpoint để so sánh với các phiên bản có lỗ hổng bảo mật đã biết sử dụng Data Lake.

Hướng dẫn

Bước 1: Tạo query code với Data Lake

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover >Data Lake Queries

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn run query và kiểm tra kết quả.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Data Lake

Phần SQL: Bạn nhập code query List versions của các ứng dụng được cài trên Endpoint như zoom, chrome,…

SQL code:

SELECT meta_hostname AS Endpoint,
MAX(CASE WHEN name = ‘Zoom’ THEN version END) AS Zoom,
MAX(CASE WHEN name LIKE ‘Mozilla Firefox%’ THEN version END) AS Firefox,
MAX(CASE WHEN name = ‘Microsoft OneDrive’ THEN version END) AS OneDrive,
MAX(CASE WHEN name = ‘Google Chrome’ THEN version END) AS Chrome,
MAX(CASE WHEN name = ‘Microsoft Edge’ THEN version END) AS Edge,
MAX(CASE WHEN name = ‘Adobe Acrobat Reader DC’ THEN version END) AS AdobeReader
FROM xdr_data
WHERE query_name = ‘windows_programs’
GROUP BY meta_hostname

Sau đó click chọn Run Query.

Bước 2: Kiểm tra kết quả

Sau khi query xong, bạn sẽ có các thông tin version của các ứng dụng được tích hợp trong query code của từng endpoint có dữ liệu trên Data Lake.