hiep03
Intern
Tính năng Live Discovery
I. Mở đầu
Live Discover là một thành phần quan trọng trong trung tâm phân tích mối đe dọa (Threat Analysis Center) của Sophos Central. Đây là công cụ hỗ trợ thực hiện việc điều tra hệ thống, săn lùng các mối đe dọa (Threat Hunting) và đánh giá tính tuân thủ trên toàn bộ các thiết bị Endpoint và Server. Khác với các tính năng ngăn chặn tự động, Live Discover cho phép người dùng chủ động đặt câu hỏi để tìm ra các hành vi bất thường mà hệ thống bảo vệ chưa phát hiện được.II. Lý thuyết
Cơ chế hoạt động của Live DiscoverTính năng này yêu cầu bản quyền Sophos EDR, XDR hoặc MDR. Live Discover hoạt động dựa trên việc truy vấn dữ liệu từ hai nguồn chính:
- Endpoint Queries (Truy vấn trực tiếp): Lấy dữ liệu mới nhất từ các thiết bị đang kết nối mạng (Online). Các câu lệnh sẽ được gửi trực tiếp xuống Endpoint để thu thập thông tin hiện hành.
- Data Lake Queries (Truy vấn hồ dữ liệu): Truy vấn dữ liệu lịch sử từ đám mây. Các máy tính sẽ định kỳ đẩy thông tin lên Data Lake. Nguồn này cho phép kiểm tra dữ liệu của cả các máy tính đang tắt (Offline) trong vòng 30 ngày gần nhất.
III. Hướng dẫn cấu hình và thực hiện truy vấn
Để sử dụng Live Discover một cách đầy đủ, cần thực hiện thiết lập trong chính sách trước khi sử dụng giao diện điều tra.Bước 1: Kích hoạt đẩy dữ liệu lên Data Lake
Vào Sophos Central Admin
My Product > Endpoint > Policies.
Chọn Policy có sẵn trong mục Data Collection and Investigation
Hoặc Add > Data Collection and Investigation để thêm Policy mới
Mình sẽ chọn Base Policy có sẵn
Mặc định Policy sẽ áp dụng cho tất cả các User và Computer
Qua tab Setting
Đảm bảo Data Lake Uploads được bật
Bước 2: Chọn câu hỏi truy vấn
Vào thanh điều hướng phía trên
Threat Analysis Center > Live Discover.
Tại giao diện này, bạn có thể chọn từ hàng trăm câu hỏi có sẵn được chia theo danh mục (ví dụ: Processes, Network, Registry, User, Compliance...).
Nếu muốn tự viết lệnh bằng ngôn ngữ SQL, có thể bật Designer Mode.
Ở đây có một số truy vấn có sẵn như trong MITRE ATT&CK hiện đang có 25 truy vấn có sẵn
Sau khi chọn xong nhấp vào những Query mà bạn muốn thực hiện cho thiết bị này
Mình sẽ chọn Authentication attempts
Nhập các thông tin cần thiết
"%" là kí hiệu thay thế đại diện cho tất cả
Hoặc các bạn có thể tìm từ các từ khóa cụ thể
Tiếp theo chọn thiết bị
Sau khi chạy xong
Mình sẽ tiếp tục truy vâns với danh mục Data Lake Queries
Thử với Query đầu tiên
Điền thông tin
Run Query
Kết quả
IV. Tổng kết
Live Discover là công cụ chuyển đổi phương thức quản trị từ ứng phó thụ động sang chủ động săn lùng mối đe dọa. Việc nắm vững cách sử dụng các bản truy vấn (Queries) giúp chúng ta có cái nhìn sâu sắc và chi tiết về tình trạng an ninh của toàn bộ hệ thống mà các báo cáo thông thường không thể cung cấp.Để khai thác tối đa sức mạnh của Live Discover, cần ghi nhớ các lưu ý quan trọng sau:
- Tính năng này chỉ hoạt động hiệu quả nhất khi chính sách Data Collection and Investigation được cấu hình đúng. Việc bật Upload to the Data Lake là điều kiện tiên quyết để thực hiện điều tra trên các thiết bị đang ngoại tuyến (Offline).
- Tối ưu hóa truy vấn: Sử dụng linh hoạt các ký hiệu thay thế (ví dụ: % cho tất cả dữ liệu) giúp mở rộng phạm vi tìm kiếm. Tuy nhiên, trong các hệ thống lớn, việc xác định từ khóa cụ thể sẽ giúp kết quả trả về nhanh hơn và chính xác hơn.
- Tận dụng Data Lake: Hãy ưu tiên sử dụng Data Lake Queries khi cần điều tra các sự kiện diễn ra trong quá khứ (lên đến 30 ngày) hoặc khi thiết bị không thể kết nối mạng ổn định.
- Hệ thống cho phép chạy song song tối đa 4 truy vấn, giúp tiết kiệm thời gian khi cần đối soát nhiều loại dữ liệu cùng lúc.
Đính kèm
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới