Sophos Extended Detection and Response (XDR)  cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Mô hình Query

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code để query check các gói windows update trên Windows, xem các gói nào đã được update hoặc chưa update.

Hướng dẫn

Bước 1: Custom Query check Windows Update.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query windows update

SQL code:

SELECT
title, support_url, size, kbarticle, msrc_severity,
CASE
WHEN installed = ‘true’ THEN ‘Update is installed’
END AS installed
FROM
win_update

Bước 2: Chọn Endpoint Query

Tiếp theo bạn chọn các Endpoint cần query. Sau đó click chọn Run Query.

Nếu xuất hiện thông báo như hình dưới, bạn tiếp tục click Run Query.

Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.

Bước 3: Kiểm tra kết quả.

Sau khi chạy xong query. Bạn sẽ có các thông tin như như tên máy, các kb update có trên máy tính và trạng thái đã cài đặt update hay chưa. Có các thông tin này bạn sẽ biết các máy nào cần được update.