Sophos XDR tích hợp các tính năng Trí tuệ nhân tạo (AI) trực tiếp trong nền tảng Sophos Central, nhằm hỗ trợ quản trị viên và đội ngũ SOC phân tích, điều tra và hiểu rõ sự cố bảo mật một cách nhanh chóng và chính xác hơn.
Các tính năng AI trong Sophos XDR được thiết kế để:
- Chuyển dữ liệu kỹ thuật phức tạp thành ngôn ngữ dễ hiểu
- Giảm thời gian điều tra sự cố
- Hỗ trợ cả người dùng không chuyên sâu về SOC/SQL
- Chuẩn hóa quá trình phân tích và báo cáo sự cố
Tài liệu này nhằm:
- Hướng dẫn sử dụng các tính năng AI trong Sophos XDR
- Đánh giá khả năng hỗ trợ vận hành bảo mật thực tế
- Giúp quản trị viên khai thác hiệu quả AI trong Sophos Central
- Làm tài liệu tham khảo cho vận hành, đào tạo và báo cáo
AI Search là tính năng cho phép tìm kiếm dữ liệu trong Sophos Data Lake bằng ngôn ngữ tự nhiên, không cần viết các câu truy vấn SQL.
AI Search có thể tìm kiếm:
- Detection (cảnh báo bảo mật)
- Dữ liệu endpoint
- Indicators of Compromise (IOC) như:
- Địa chỉ IP
- Tên người dùng
- File
- Hoạt động trên endpoint
A. Yêu cầu license
Để sử dụng AI Search, tài khoản phải có một trong các license sau:
- Sophos EDR
- Sophos XDR
- Sophos MDR
B. Giới hạn hệ điều hành
- Tìm kiếm Endpoint Data hiện chỉ hỗ trợ Windows devices
Đăng nhập Sophos Central → Threat Analysis Center → Chọn AI Search
Chọn loại dữ liệu cần tìm:
- Detections
- Endpoint Data (Windows only)
Người dùng có thể tìm kiếm theo hai cách:
Cách 1: Sử dụng truy vấn gợi ý
- Khi mở AI Search, hệ thống hiển thị các truy vấn gợi ý
- Nhấn chọn một truy vấn
- Có thể chỉnh sửa nội dung hoặc thêm khoảng thời gian (ví dụ: last 7 day)
- Nhấn Search để chạy truy vấn
AI Search sẽ tự động phân tích câu hỏi và truy vấn dữ liệu phù hợp trong Data Lake.
Cách 2: Nhập câu hỏi tùy chỉnh
- Nhập câu hỏi bằng ngôn ngữ tự nhiên, ví dụ:
- Show detections where hostname = “PHONG-VACIF” in the last 7 days
- Nhấn Search
AI Search sẽ tự động phân tích câu hỏi và truy vấn dữ liệu phù hợp trong Data Lake.
- Kết quả hiển thị dạng bảng, tối đa 1.000 bản ghi
- Dữ liệu được lưu trữ:
- 90 ngày (mặc định)
- 1 năm nếu có license Central Data 1-Year Storage Pack
- Có thể:
- Nhấn vào Detection Rule để xem chi tiết detection
Người dùng có thể xem Generated Query để tham khảo truy vấn SQL mà AI Search tạo ra.
Lưu truy vấn để sử dụng lại trong Live Discover
Xuất kết quả ra file CSV
Sao chép truy vấn SQL cho mục đích phân tích nâng cao
AI Assistant là trợ lý AI trung tâm trong Sophos Central, cho phép người dùng tương tác bằng hội thoại để hỗ trợ điều tra sự cố và threat hunting.
AI Assistant giúp người dùng phân tích dữ liệu bảo mật, hiểu ngữ cảnh sự cố và xác định hướng xử lý tiếp theo mà không cần thực hiện các thao tác thủ công phức tạp.
AI Assistant không tự động thực hiện hành động xử lý, mà đóng vai trò hỗ trợ phân tích, giải thích và định hướng điều tra.
Người dùng truy cập AI Assistant theo các bước sau:
- Đăng nhập Sophos Central
- Trên thanh menu, chọn AI
- Chọn Assistant
- Nhấn New để bắt đầu một phiên làm việc mới
Ngoài ra, khi đang điều tra một Case, người dùng có thể khởi động AI Assistant trực tiếp từ Threat Analysis → Cases → Ask Sophos AI.
Sau khi khởi động, người dùng nhập câu hỏi vào cửa sổ chat để tương tác với AI.
AI Assistant hỗ trợ hỏi–đáp nhiều lượt và ghi nhớ ngữ cảnh của phiên làm việc hiện tại.
Trong quá trình sử dụng, tùy theo mục đích, AI Assistant sẽ hoạt động dưới hai chế độ khác nhau:
Chọn Security Analyst
Hệ thống hiển thị danh sách các Case hiện có
- Bao gồm cả Sophos‑managed cases và Self‑managed cases
Nhấn chọn Case ID để bắt đầu phiên làm việc
Khi Case được chọn, AI Assistant sẽ tự động thu thập thông tin Case và Detection liên quan để xác định ngữ cảnh của phiên chat.
Tại trang chat, người dùng có thể nhập câu hỏi theo các cách sau:
- Chọn prompt có sẵn để tự động điền vào ô nhập (ví dụ: What actions can I perform?).
- Chỉnh sửa nội dung prompt trước khi gửi nếu cần.
- Nhập ký tự / để xem thêm danh sách prompt gợi ý.
- Nhập prompt tùy chỉnh bằng ngôn ngữ tự nhiên, ví dụ:
Check for processes communicating with IP address 10.0.1.108 in the past 24 hours. - Nhấn Send để gửi câu hỏi.
Khi phản hồi sẵn sàng, AI Assistant sẽ hiển thị kết quả trực tiếp trên trang chat và lưu phiên trò chuyện ở khung bên trái.
Người dùng có thể tiếp tục đặt câu hỏi trong cùng phiên chat để tinh chỉnh điều tra. AI Assistant ghi nhớ ngữ cảnh để trả lời chính xác các câu hỏi tiếp theo.
Để kết thúc, đóng trang Sophos AI hoặc chọn New để tạo phiên chat mới. Phiên cũ vẫn được lưu trong danh sách bên trái.
Threat Hunter Assistant được sử dụng cho threat hunting chủ động, cho phép tìm kiếm các tác nhân độc hại và Indicators of Compromise (IOC) trong dữ liệu Sophos Data Lake.
Assistant này không giới hạn trong một Case cụ thể và hỗ trợ mở rộng điều tra trong toàn bộ môi trường.
***Lưu ý: Threat Hunter Assistant chỉ hỗ trợ Self-managed threat cases.
Nhấn Threat Hunter để bắt đầu phiên threat hunting.
Tại trang chat, người dùng có thể nhập câu hỏi theo các cách sau:
- Nhấn chọn prompt có sẵn để tự động thêm vào ô nhập (ví dụ: What actions can I perform?).
- Chỉnh sửa nội dung prompt trong ô nhập nếu cần.
- Nhập ký tự / để xem thêm danh sách prompt gợi ý.
- Nhập prompt tùy chỉnh bằng ngôn ngữ tự nhiên, ví dụ:
Check for processes communicating with IP address 10.0.1.108 on any endpoint in the past 24 hours. - Nhấn Send để gửi câu hỏi.
Khi phản hồi sẵn sàng, AI Assistant sẽ hiển thị kết quả trên trang chat.
Phiên trò chuyện đồng thời được lưu và hiển thị trong danh sách bên trái.
Người dùng có thể tiếp tục nhập thêm prompt trong cùng phiên chat để tinh chỉnh quá trình hunting, ví dụ:
- Is that device online?
- Who was logged in at that time?
AI Assistant ghi nhớ các prompt trước đó trong phiên chat hiện tại để duy trì ngữ cảnh cho các câu hỏi tiếp theo.
Để kết thúc phiên, đóng trang Sophos AI hoặc nhấn New để bắt đầu phiên chat mới.
Phiên chat kết thúc sẽ được xóa khỏi trang hiển thị chính nhưng vẫn còn trong danh sách bên trái.
Chỉ người tạo hội thoại mới xem được nội dung chat. Các phản hồi được lưu vào Case Notebook sẽ hiển thị cho những admin có quyền truy cập Case đó. Người dùng có thể mở lại hoặc xóa các phiên hội thoại đã tạo.
AI Case Summary là tính năng AI trong Sophos Central giúp tự động tóm tắt nội dung của một Case bảo mật.
Tính năng này phân tích các detection liên quan để cung cấp cái nhìn tổng quan, giúp người dùng nhanh chóng hiểu được bản chất sự cố và hướng xử lý.
Cách sử dụng AI Case Summary
- Đăng nhập Sophos Central
- Vào Threat Analysis → Cases
- Mở Case cần điều tra
- Chọn AI Case Summary
Hệ thống sẽ tự động phân tích Case và tạo bản tóm tắt.
AI Case Summary thường bao gồm:
- Tổng quan sự cố: mô tả ngắn gọn những gì đã xảy ra
- Đối tượng liên quan: endpoint và user bị ảnh hưởng
- Chuỗi detection: các sự kiện chính trong Case
- MITRE ATT&CK: tactics và techniques được xác định (nếu có)
- Gợi ý bước tiếp theo: hướng điều tra hoặc xử lý bổ sung
AI Command Analysis là tính năng AI dùng để phân tích các command line nghi vấn trong detection.
Tính năng này giúp xác định mục đích thực thi, hành vi của command và đánh giá tác động tiềm ẩn đối với hệ thống. Trong trường hợp command bị obfuscate, hệ thống có thể tự động giải mã để hỗ trợ phân tích.
Cách sử dụng AI Command Analysis
- Mở Threat Analysis → Cases hoặc Detections
- Chọn detection cần phân tích
- Tại phần Command Line, chọn AI Command Analysis
AI sẽ tự động phân tích command và hiển thị kết quả.
AI Command Analysis thường hiển thị:
- Giải thích command bằng ngôn ngữ tự nhiên
- Nội dung command đã được giải mã (nếu có)
- Các hành vi chính của command (tải file, thực thi, kết nối mạng…)
- Đánh giá tác động bảo mật tiềm ẩn đối với hệ thống
Các tính năng AI trong Sophos XDR đóng vai trò hỗ trợ mạnh mẽ cho quá trình điều tra và phân tích sự cố bảo mật, giúp:
- Rút ngắn thời gian nắm bắt sự cố
- Giảm thao tác thủ công và đọc log phức tạp
- Chuẩn hóa cách phân tích giữa các thành viên trong đội vận hành
- Hỗ trợ tốt cho cả người mới lẫn người có kinh nghiệm
Khi được sử dụng đúng cách và thường xuyên, AI trong Sophos XDR giúp nâng cao hiệu quả vận hành bảo mật, đồng thời giảm áp lực cho đội IT và SOC trong việc xử lý các mối đe dọa ngày càng phức tạp.