Viết bởi Paul Murray

NGÀY 14 THÁNG 2 NĂM 2024

Các tổ chức sử dụng Veeam Backup & Replication giờ đây có thể tăng cường khả năng phòng thủ chống lại ransomware bằng Sophos MDR và Sophos XDR. Đọc tiếp để tìm hiểu cách tích hợp mới của Sophos với Veeam mang lại khả năng hiển thị tốt hơn để phát hiện và ngăn chặn các mối đe dọa nhắm mục tiêu vào dữ liệu sao lưu.

Sao lưu và phục hồi là một phần không thể thiếu trong chiến lược an ninh mạng toàn diện. Kẻ thù cố gắng giả mạo các giải pháp sao lưu để ngăn chặn quá trình phục hồi sau các cuộc tấn công bằng ransomware – việc phát hiện sớm hoạt động độc hại này là rất quan trọng.

Sự tích hợp mới của Sophos với Veeam trao đổi liền mạch thông tin bảo mật khi mối đe dọa xuất hiện, mở rộng khả năng hiển thị để giúp phát hiện, điều tra và ứng phó với các cuộc tấn công đang hoạt động.

Mối quan hệ hợp tác mới mạnh mẽ này mang đến sự an tâm rằng dữ liệu sao lưu luôn sẵn có và được bảo vệ, cho phép các tổ chức phát hiện các mối đe dọa, điều tra hoạt động đáng ngờ và cuối cùng là khôi phục dữ liệu nhanh chóng.

Với Sophos và Veeam, các tổ chức có thể đảm bảo tính toàn vẹn và sẵn có của các bản sao lưu, giảm nguy cơ mất dữ liệu do phần mềm độc hại, vô tình xóa, các mối đe dọa bảo mật nội bộ và các tình huống mất dữ liệu khác.

• Dịch vụ Sophos MDR cung cấp khả năng giám sát bảo mật 24/7, lọc các cảnh báo dư thừa và điều tra các mối đe dọa đối với môi trường Veeam, như các nỗ lực xóa kho lưu trữ sao lưu, vô hiệu hóa xác thực đa yếu tố, xóa mật khẩu mã hóa, v.v.
• Các tổ chức sử dụng giải pháp Sophos XDR để điều tra và phản hồi nội bộ cũng có thể tích hợp phép đo từ xa Veeam để xác định hoạt động độc hại tiềm ẩn, kết hợp với phát hiện mối đe dọa từ các nguồn khác trong một nền tảng và bảng điều khiển thống nhất.

Sự bảo vệ mạnh mẽ nhất chống lại các cuộc tấn công ransomware

Giải pháp Sophos XDR và dịch vụ Sophos MDR bao gồm công nghệ CryptoGuard hàng đầu trong ngành có khả năng phát hiện và ngăn chặn phần mềm tống tiền trên toàn cầu trước khi nó tác động đến hệ thống của khách hàng, bao gồm các biến thể mới cũng như mã hóa cục bộ và từ xa .

Khả năng ngăn chặn, phát hiện và phản hồi vượt trội của Sophos, kết hợp với các bản sao lưu và phiên bản bất biến do Veeam cung cấp, đảm bảo dữ liệu sao lưu vẫn được an toàn và có thể phục hồi.

Nâng cao khả năng phòng thủ của bạn với tích hợp Veeam mới của Sophos

Tích hợp Veeam mới hiện có sẵn dưới dạng tiện ích bổ sung cho đăng ký Sophos MDR và Sophos XDR thông qua giấy phép Gói tích hợp “Sao lưu và phục hồi” mới.

Để tìm hiểu thêm và khám phá cách Sophos MDR và Sophos XDR có thể giúp tổ chức của bạn bảo vệ tốt hơn trước các đối thủ đang hoạt động, bao gồm các cuộc tấn công nhắm vào kho lưu trữ dự phòng của bạn, hãy trao đổi với cố vấn Sophos hoặc đối tác Sophos của bạn.

Đã là khách hàng của Sophos MDR hoặc Sophos XDR? Kích hoạt tích hợp Veeam trong bảng điều khiển Sophos Central của bạn ngay hôm nay.

Live Discover là một tính năng cho phép quản trị viên có được khả năng lấy các thông tin của Endpoint trong hệ thống mạng. Nó cho phép truy cập trực tiếp vào một thiết bị để hiểu trạng thái chạy hiện tại và hoạt động lịch sử của nó.

Live Discover dựa trên osquery, một dự án mã nguồn mở cho phép quản trị viên hiểu được trạng thái đang chạy hiện tại của thiết bị. Nó sử dụng các truy vấn SQL để lấy các thông tin của thiết bị.

Bài viết hôm nay sẽ hướng dẫn các bạn query để lấy các thông tin theo file type (.docx, .exe, .zip,…) trong các thư mục cụ thể trên endpoint.

2. Hướng dẫn

Bước 1: Tạo new query.

Bạn đăng nhập vào Sophos Central Admin > Threat Analysis Center > Live Discover.

Ở đây Sophos đã cung cấp các category (Device, File, Event,…) có sẵn để người dùng có thể dùng để query các thông tin trên máy trạm và máy chủ. Ngoài các category có sẵn, Sophos cũng cho phép bạn custom các query theo ý bạn muốn.

Bạn click chọn bật Designer Mode > click Create New Query.

Query name: Đặt tên cho query bạn muốn tạo.

Ví dụ: Search subfolders for a specific filename or extension

Category: chọn category cho query này. Ex: File

Soucre: click chọn Live Endpoint (chọn Window/Mac/Linux)

SQL: Bạn nhập code query bạn muốn tìm kiếm thông tin.

Ví dụ: Tìm kiếm các file có đuôi .exe trên desktop của Endpoint

SELECT
  path,
  directory,
  filename,
  device,
  size
FROM file
WHERE directory LIKE ‘C:\users\%\desktop%%’ AND filename LIKE ‘%%.exe’

Bước 2: Chọn Device để query.

Trong phần Device Selector, bạn click icon hình tam giác. Click chọn các endpoint bạn cần query thông tin.

Chọn Run Query.

Nếu hiện lên thông báo này. Tiếp tục click chọn Run Query.

Bạn đợi quá trình query lấy thông tin trên thiết bị hoàn thành.

Bước 3: Check kết quả query

Sau khi query, bạn sẽ có các thông tin về các file có đuôi .exe trên các endpoint được chọn.

Bạn có thể thay đổi file type trong phần code “LIKE ‘%%.zip” và đường dẫn tìm kiếm chuyển sang thư mục “downloads“.

Kết quả.

Hoặc thay đổi đuôi file.pdf

Live Discover là một tính năng cho phép quản trị viên có được khả năng lấy các thông tin của Endpoint trong hệ thống mạng. Nó cho phép truy cập trực tiếp vào một thiết bị để hiểu trạng thái chạy hiện tại và hoạt động lịch sử của nó.

Live Discover dựa trên osquery, một dự án mã nguồn mở cho phép quản trị viên hiểu được trạng thái đang chạy hiện tại của thiết bị. Nó sử dụng các truy vấn SQL để lấy các thông tin của thiết bị.

Bài viết hôm nay sẽ hướng dẫn các bạn query để lấy các thông tin của thiết bị như version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU,… được cài Sophos Endopoint trong hệ thống mạng.

2. Hướng dẫn.

Bước 1: Tạo code query.

Bạn đăng nhập vào Sophos Central Admin > Threat Analysis Center > Live Discover.

Ở đây Sophos đã cung cấp các category (Device, File, Event,…) có sẵn để người dùng có thể dùng để query các thông tin trên máy trạm và máy chủ. Ngoài các category có sẵn, Sophos cũng cho phép bạn custom các query theo ý bạn muốn.

Bạn click chọn bật Designer Mode > click Create New Query.

Query name: Đặt tên cho query bạn muốn tạo.

Ví dụ: Device Activity (Multiple queries in one)

Category: chọn category cho query này. Ex: Device

Soucre: click chọn Live Endpoint (chọn Window/Mac/Linux)

SQL: Bạn nhập code query bạn muốn tìm kiếm thông tin.

Ví dụ: Bạn có thể truy cập đường link này để lấy code query.

Link: https://community.sophos.com/intercept-x-endpoint/i/device/device-activity-multiple-queries-in-one

Bước 2: Chọn Device để query.

Trong phần Device Selector, bạn click icon hình tam giác. Click chọn các endpoint bạn cần query thông tin.

Chọn Run Query.

Nếu hiện lên thông báo này. Tiếp tục click chọn Run Query.

Bạn đợi quá trình query lấy thông tin trên thiết bị hoàn thành.

Bước 3: Check kết quả query

Sau khi query, bạn sẽ có các thông tin về thiết bị như: Version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, Các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU, thời gian reboot gần đây.

Ngoài ra còn có các hoạt động của user như sử dụng cmd, onedrive,..

Ngoài việc chạy các query đến các thiết bị endoint, Sophos còn hỗ trợ query với Sophos Data Lake. Sophos Data Lake cung cấp dữ liệu về thiết bị của bạn được lưu trữ trên đám mây. Sau đó, bạn có thể sử dụng Sophos Live Discover để thực hiện các query như: Chạy các truy vấn bảo mật trên tất cả các thiết bị của bạn, ngay cả khi các thiết bị đang offline. Dữ liệu truy vấn trong 7 ngày qua hoặc 30 ngày qua (tùy thuộc vào license của bạn). 

Lợi thế của query Data Lake là việc truy vấn dữ liệu sẽ nhanh hơn do không cần query xuống Endpoint để lấy thông tin.

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code được custom bởi Sophos XDR để query check list versions của ứng dụng được cài đặt trên endpoint để so sánh với các phiên bản có lỗ hổng bảo mật đã biết sử dụng Data Lake.

Hướng dẫn

Bước 1: Tạo query code với Data Lake

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover >Data Lake Queries

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn run query và kiểm tra kết quả.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Data Lake

Phần SQL: Bạn nhập code query List versions của các ứng dụng được cài trên Endpoint như zoom, chrome,…

SQL code:

SELECT meta_hostname AS Endpoint,
MAX(CASE WHEN name = ‘Zoom’ THEN version END) AS Zoom,
MAX(CASE WHEN name LIKE ‘Mozilla Firefox%’ THEN version END) AS Firefox,
MAX(CASE WHEN name = ‘Microsoft OneDrive’ THEN version END) AS OneDrive,
MAX(CASE WHEN name = ‘Google Chrome’ THEN version END) AS Chrome,
MAX(CASE WHEN name = ‘Microsoft Edge’ THEN version END) AS Edge,
MAX(CASE WHEN name = ‘Adobe Acrobat Reader DC’ THEN version END) AS AdobeReader
FROM xdr_data
WHERE query_name = ‘windows_programs’
GROUP BY meta_hostname

Sau đó click chọn Run Query.

Bước 2: Kiểm tra kết quả

Sau khi query xong, bạn sẽ có các thông tin version của các ứng dụng được tích hợp trong query code của từng endpoint có dữ liệu trên Data Lake.

Sophos Extended Detection and Response (XDR)  cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Mô hình Query

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code để query check các gói windows update theo KBarticle đang có trên Windows, xem các gói này đã được update hay chưa update.

Hướng dẫn

Bước 1: Custom Query check Windows Update theo KBarticle.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query windows update theo KBarticle.

SQL code:

Note: Cần nhập thêm biến (Variable — $$KB$$ — String). Tên biến do bạn tự đặt. Ex: KB,…

SELECT

    title, support_url, size, kbarticle, msrc_severity,

    CASE

    WHEN installed = ‘true’ THEN ‘Update is installed’

    END AS installed

FROM

    win_update

WHERE kbarticle = ‘$$KB$$’

Trong SQL code này bạn cần thêm biến để có thể sử dụng. Click chọn Show variable editor > Add variable.

Biến cần thêm là “KB”. Bạn có thể nhận biết các biến cần tạo có dạng “$$….$$“

+ Variable type: String.

+ Enter value to use when query runs: Bạn nhập số KBarticle của Windows Update để check. Ex: KB4052623.

Bước 2: Chọn Endpoint Query

Tiếp theo bạn chọn các Endpoint cần query. Sau đó click chọn Run Query.

Nếu xuất hiện thông báo như hình dưới, bạn tiếp tục click Run Query.

Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.

Bước 3: Kiểm tra kết quả.

Sau khi chạy xong query. Bạn sẽ có các thông tin như endpoint đã install bản update với KB là KB4052623. Title là Update for Windows Defender….

Bạn có thể kiểm tra các KB khác như KB5005539. Và check kết quả ta thấy KB này chưa được install trên Endpoint.

Sophos Extended Detection and Response (XDR)  cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Mô hình Query

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code để query check các gói windows update trên Windows, xem các gói nào đã được update hoặc chưa update.

Hướng dẫn

Bước 1: Custom Query check Windows Update.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query windows update

SQL code:

SELECT
title, support_url, size, kbarticle, msrc_severity,
CASE
WHEN installed = ‘true’ THEN ‘Update is installed’
END AS installed
FROM
win_update

Bước 2: Chọn Endpoint Query

Tiếp theo bạn chọn các Endpoint cần query. Sau đó click chọn Run Query.

Nếu xuất hiện thông báo như hình dưới, bạn tiếp tục click Run Query.

Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.

Bước 3: Kiểm tra kết quả.

Sau khi chạy xong query. Bạn sẽ có các thông tin như như tên máy, các kb update có trên máy tính và trạng thái đã cài đặt update hay chưa. Có các thông tin này bạn sẽ biết các máy nào cần được update.

Sophos Extended Detection and Response (XDR)  cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Mô hình Query

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code để query và truy xuất các sự kiện tạo, xóa và đặt lại mật khẩu tài khoản của cả computer và Server.

Hướng dẫn

Bước 1: Custom Query check Account Event.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query account event.

SQL code:

Note: Cần nhập thêm biến (Variable — $$Days$$ — String).

SELECT
   datetime(swe.time,'unixepoch') Date_Time,
   json_extract(swe.data, '$.EventData.TargetUserName') AS User_Name,
   CASE swe.eventid
      WHEN '4720' THEN 'Created'
      WHEN '4724' THEN 'Passwort Reset'
      WHEN '4726' THEN 'Deleted'
   END 'Action',
   json_extract(swe.data, '$.EventData.SubjectUserName') AS By,
   swe.data AS Details
FROM sophos_windows_events swe
WHERE eventid IN ('4720','4724','4726') AND time >= strftime('%s','now','-$$Days$$ days')

Trong SQL code này bạn cần thêm biến để có thể sử dụng. Click chọn Show variable editor > Add variable.

Biến cần thêm là “Days”. Bạn có thể nhận biết các biến cần tạo có dạng “$$….$$“

+ Variable type: String.

+ Enter value to use when query runs: Bạn nhập số ngày cần check về Account Event. Ex: 30 ngày

Bước 2: Chọn Endpoint Query

Tiếp theo bạn chọn các Endpoint cần query. Sau đó click chọn Run Query.

Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.

Bước 3: Kiểm tra kết quả.

Sau khi chạy xong query. Bạn sẽ có các thông tin như thời gian, username, Action,…các Account Event đã được ghi nhận trong 30 ngày.

Sophos Extended Detection and Response (XDR)  cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Mô hình Query

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code query để check thông tin các service có đang Running hay đã Stopped trên Endpoint.

Hướng dẫn

Bước 1: Custom Query check Service.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query một Service cụ thể như Sophos.

SQL code:

Note: Bạn có thể thay đổi “display_name” – Check Service Sophos, Windows, Microsoft,…
“status” RUNNING hoặc STOPPED.

SELECT
name,
display_name,
start_type,
path,
status,
user_account
FROM services
WHERE display_name like ‘%Sophos%’
AND status = ‘RUNNING’;

Bước 2: Chọn Endpoint Query

Tiếp theo bạn chọn Endpoint cần query. Sau đó click chọn Run Query

Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.

Bước 3: Kiểm tra kết quả.

Kết quả sẽ show tất cả các Service Sophos đang Running.

Bạn cũng có thể chỉnh để query lại Service khác như Windows — Status là “STOPPED” để chẹc các Service Windows đang bị stop.

Kết quả chạy query. List các Windows Service đang bị Stop.

Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất.

Sử dụng Sophos XDR bạn sẽ nhận được 30 ngày lưu trữ trên cloud trong Sophos Data Lake, bên cạnh đó là tối đa 90 ngày dữ liệu được lưu trữ trực tiếp trên thiết bị cho các tìm kiếm lịch sử và thời gian thực. Vì vậy, ngay cả khi thiết bị offline, bạn vẫn có thể truy cập dữ liệu quan trọng của thiết bị đó để điều tra hoạt động đáng ngờ.

Mô hình Query.

Bài viết sẽ hướng dẫn các bạn query các thông tin Bitlocker sau khi triển khai Sophos Device Encyption trên các Endpoint.

Hướng dẫn

Bước 1: Custom Query Bitlocker Info.

Với Sophos XDR, đã có sẵn query về bitlocker info để bạn có thể query, nhưng bạn vẫn có thể custom lại query này để có thêm các thông tin chi tiết hơn.

Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover > EndpointQueries.

Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn endpiont cần query và kiểm tra kết quả trả về.

Để custom query bạn chọn Enable Designer Mode > Create new query.

Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Điền miêu tả nếu bạn muốn.

Kéo xuống chọn Live Endpoint > Windows.

Phần SQL: Bạn nhập code query thông tin bitlocker mới.

SQL code:

SELECT device_id,drive_letter,percentage_encrypted, encryption_method, version, persistent_volume_id,
   CASE conversion_status
      WHEN 1 THEN ‘Fully Encrypted’
      WHEN 2 THEN ‘Encryption In Progress’
      WHEN 3 THEN ‘Decryption In Progress’
      WHEN 4 THEN ‘Encryption Paused’
      WHEN 5 THEN ‘Decryption Paused’
      ELSE ‘Fully Decrypted’
   END conversion_status,
   CASE protection_status
      WHEN 0 THEN ‘Protection Off’
      WHEN 1 THEN ‘Protection On’
      ELSE ‘Unknown’
   END protection_status,
   CASE lock_status
      WHEN 0 THEN ‘Unlocked’
      WHEN 1 THEN ‘Locked’
   END lock_status
FROM bitlocker_info;

Bước 2: Chọn Endpoint Query

Tiếp theo bạn chọn các Endpoint cần query hoặc chọn tất cả các endpoint. Sau đó click chọn Run Query

Tiếp tục chọn Run Query

Bạn đợi để Query chạy xong trên Endpoint với status “Finish – OK”.

Bước 3: Kiểm tra kết quả.

Bảng kết quả cho thấy, trên các endpoint đang có những ổ đĩa nào.

và Protection _status là OFF tức mà endpoint này chưa được cài Sophos Device Encyption. Còn Protection _status là ON thì endpoint đã cài Sophos Device Encyption với Full Encypted ổ đĩa C.