Sophos Endpoint [Lab][4] Cấu hình thông báo và cảnh báo

Cấu hình thông báo và cảnh báo​

I. Mở đầu​

Trong các hệ thống bảo mật hiện đại, việc phát hiện mối đe dọa chỉ là một phần. Quan trọng hơn là phải thông báo kịp thời và chính xác để có thể phản ứng nhanh chóng.

Sophos Central cung cấp hệ thống Alerts (Cảnh báo) mạnh mẽ, giúp nhận thông báo thời gian thực qua email và trên dashboard. Nhờ đó, bạn có thể theo dõi trạng thái bảo mật của toàn bộ thiết bị (Endpoint, Server…) một cách chủ động và hiệu quả.

Bài viết này sẽ hướng dẫn chi tiết về lý thuyết, các loại cảnh báo cũng như cách cấu hình và kiểm tra thông báo trong Sophos Central.

II. Lý thuyết​

1. Tổng quan về hệ thống cảnh báo
Sophos Central sử dụng trang Alerts để liệt kê tất cả các sự kiện yêu cầu phải thực hiện hành động xử lý (action). Các cảnh báo này được hiển thị tập trung tại mục My Environment > Alerts.

Hệ thống cho phép:

• Theo dõi tập trung: Xem danh sách các sự kiện chưa được xử lý.
• Phản ứng nhanh: Thực hiện các hành động như Clean Up, Authorize, hoặc Reinstall ngay từ giao diện cảnh báo.
• Tối ưu hóa thông báo: Gom nhóm các cảnh báo tương tự để dễ quản lý.

Các cảnh báo được tạo khi:

• Phát hiện malware
• Thiết bị offline
• Hành vi bất thường
• Lỗi agent
• ....

2. Phân biệt Alerts và Notifications

• Alerts (Cảnh báo): Là các sự kiện bảo mật xảy ra trong hệ thống (malware, ransomware, thiết bị offline…).
• Notifications (Thông báo): Là cách Sophos gửi Alerts đến chúng ta qua email hoặc giao diện quản lý.

3. Phân loại các loại cảnh báo (Alert Types)
Thay vì chia nhóm thủ công, Sophos Central quản lý cảnh báo dựa trên các danh mục sản phẩm và tính năng cụ thể (nằm trong menu Manage your products). Các loại cảnh báo chính bao gồm:

• Alerts for Threat Protection: Các cảnh báo về bảo mật như phát hiện Malware, Ransomware, Exploit hoặc các hành vi đáng ngờ (Suspicious behavior).
• Alerts for installation and compliance: Các cảnh báo liên quan đến việc cài đặt Agent, lỗi cài đặt hoặc thiết bị không tuân thủ chính sách bảo mật (Policy).
• Alerts for Device Encryption: Các cảnh báo về trạng thái mã hóa ổ cứng trên thiết bị.
• Firewall & Wireless Alerts: Các cảnh báo đồng bộ từ hệ thống tường lửa và thiết bị mạng không dây.

4. Các trạng thái và sự kiện (Event) đặc biệt
Trong quá trình vận hành, cần lưu ý các loại sự kiện đặc thù sau:

• Outbreak Detected (Cảnh báo bùng phát): Hệ thống sẽ báo cáo một "Outbreak" nếu một thiết bị ghi nhận 100 phát hiện (detections) trong vòng 24 giờ. Điều này giúp tránh việc gửi quá nhiều email thông báo cho cùng một loại sự kiện lặp lại trên một máy.
• Restart alerts (Cảnh báo khởi động lại): Được tạo ra khi một bản cập nhật yêu cầu khởi động lại máy tính. Sophos sẽ tạo cảnh báo chính thức nếu việc khởi động lại bị trì hoãn quá 2 tuần.
• High/Medium/Low Alerts: Phân loại dựa trên mức độ ưu tiên để người quản trị tập trung xử lý các sự cố nghiêm trọng trước.

III. Hướng dẫn cấu hình​

Nhấn vào kí hiệu bánh răng (general seting) nằm ở góc bên phải

Kéo xuống phần General và cấu hình Alert

Cấu hình người nhận

Ở đây cấu hình ai sẽ được nhận cảnh báo
Ở tab Distribution lists: Thêm nhóm email hoặc danh sách phân phối (Distribution list) để gửi cho nhiều người cùng lúc.



Chuyển sang Tab Frequency (Tần suất gửi email)

Có thể chon Immediately (ngay lập tức), hourly (hằng giờ), daily (hằng ngày), nerver (không gửi)
Mình sẽ chọn Immediately cho High Alert và Medium Alert để tí nữa kiểm thử cảnh báo
Còn có thể set gửi cảnh báo theo product (sản phẩm) hay category (loại)

Ví dụ: trong product các dịch vụ như Endpoint, Server và Email Security đều được thiết lập gửi cảnh báo ngay lập tức (Immediately). Điều này giúp đảm bảo phát hiện và xử lý sự cố bảo mật theo thời gian thực. Việc cấu hình theo từng sản phẩm giúp linh hoạt trong quản lý cảnh báo và tối ưu hóa hiệu suất hệ thống.



Các tab Custom Rules và Exceptions

• Custom Rules: Tạo quy tắc riêng cho từng admin (chỉ nhận alert theo sản phẩm hoặc mức độ nhất định).
  

• Exceptions: Loại trừ một số alert không muốn nhận (ví dụ: không gửi alert từ máy test, alert mức Low, hoặc một số thiết bị cụ thể).

Mục đích chính của Exceptions là giảm noise (cảnh báo rác), giúp người quản trị chỉ tập trung vào các sự cố thực sự quan trọng.
Mình sẽ giới thiệu Exception ở các bài viết sau

IV. Kiểm tra thông báo và cảnh báo​

Để kiểm tra cấu hình có hoạt động không, bạn có thể thực hiện test đơn giản:
Trên máy Windows 11 đã cài Sophos Endpoint:

• Tải một file test malware.

Quan sát Sophos chặn file ngay lập tức.
Thông báo trên Dashboard của Endpoint



Xem trong threat detection



Đã có thông báo về mail



Trên Kali đã cài Server Protection thực hiện tải một số file test mã độc
Thông báo gửi về Sophos Central trong threat detection



Mail

V. Tổng kết​

Việc cấu hình thông báo và cảnh báo đúng cách là yếu tố then chốt giúp hệ thống bảo mật Sophos Central hoạt động hiệu quả. Một cấu hình tốt sẽ giúp bạn nhận được thông tin kịp thời, giảm thiểu cảnh báo không cần thiết và tập trung nguồn lực vào các sự cố thực sự nguy hiểm.

Hãy bắt đầu với tần suất Immediately cho các cảnh báo mức High, sau đó tinh chỉnh Exceptions để tránh bị “ngộp” bởi alert. Thường xuyên kiểm tra và test hệ thống để đảm bảo mọi thứ vận hành ổn định.