<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Adaptive Attack Protection &#8211; VACIF</title>
	<atom:link href="https://vacif.com/tag/adaptive-attack-protection/feed/" rel="self" type="application/rss+xml" />
	<link>https://vacif.com</link>
	<description>Đầu tư cho giá trị</description>
	<lastBuildDate>Thu, 14 May 2026 07:33:24 +0000</lastBuildDate>
	<language>vi</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://vacif.com/wp-content/uploads/2024/06/cropped-icon-32x32.png</url>
	<title>Adaptive Attack Protection &#8211; VACIF</title>
	<link>https://vacif.com</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>[Mới Nhất 2026] Sophos Endpoint: Hướng Dẫn Kiểm Thử Adaptive Attack Protection</title>
		<link>https://vacif.com/moi-nhat-2026-sophos-endpoint-huong-dan-kiem-thu-adaptive-attack-protection/</link>
					<comments>https://vacif.com/moi-nhat-2026-sophos-endpoint-huong-dan-kiem-thu-adaptive-attack-protection/#respond</comments>
		
		<dc:creator><![CDATA[Trang Nguyen]]></dc:creator>
		<pubDate>Thu, 14 May 2026 07:30:36 +0000</pubDate>
				<category><![CDATA[Endpoint]]></category>
		<category><![CDATA[Hướng dẫn]]></category>
		<category><![CDATA[Hướng dẫn/Tài liệu]]></category>
		<category><![CDATA[Sophos]]></category>
		<category><![CDATA[Sophos Endpoint Security]]></category>
		<category><![CDATA[Tài liệu và Hướng dẫn]]></category>
		<category><![CDATA[Adaptive Attack Protection]]></category>
		<category><![CDATA[Sophos endpoint]]></category>
		<guid isPermaLink="false">https://vacif.com/?p=29976</guid>

					<description><![CDATA[Adaptive Attack Protection (AAP) là một cơ chế phòng thủ nâng cao của Sophos Endpoint, được thiết kế để đối phó với các cuộc tấn công “hands-on-keyboard”, khi kẻ tấn công đã xâm nhập và đang trực tiếp thao tác trên máy nạn nhân. Không giống antivirus truyền thống hoặc cơ chế “block từng lệnh”, [&#8230;]]]></description>
										<content:encoded><![CDATA[<div class="root-eb-toc-71c36 wp-block-essential-blocks-table-of-contents"><div class="eb-parent-wrapper eb-parent-eb-toc-71c36 "><div class="eb-toc-container eb-toc-71c36  eb-toc-is-not-sticky eb-toc-not-collapsible eb-toc-initially-not-collapsed eb-toc-scrollToTop style-1 list-style-none" data-scroll-top="false" data-scroll-top-icon="fas fa-angle-up" data-collapsible="false" data-sticky-hide-mobile="false" data-sticky="false" data-scroll-target="scroll_to_toc" data-copy-link="false" data-editor-type="" data-hide-desktop="false" data-hide-tab="false" data-hide-mobile="false" data-itemcollapsed="false" data-highlight-scroll="false"><div class="eb-toc-header"><h2 class="eb-toc-title">Mục lục</h2></div><div class="eb-toc-wrapper " data-headers="[{&quot;level&quot;:2,&quot;content&quot;:&quot;I - T\u1ed5ng quan b\u00e0i vi\u1ebft&quot;,&quot;text&quot;:&quot;I - T\u1ed5ng quan b\u00e0i vi\u1ebft&quot;,&quot;link&quot;:&quot;eb-table-content-0&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;II - M\u1ee5c \u0111\u00edch b\u00e0i vi\u1ebft&quot;,&quot;text&quot;:&quot;II - M\u1ee5c \u0111\u00edch b\u00e0i vi\u1ebft&quot;,&quot;link&quot;:&quot;eb-table-content-1&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;III - H\u01b0\u1edbng d\u1eabn chi ti\u1ebft&quot;,&quot;text&quot;:&quot;III - H\u01b0\u1edbng d\u1eabn chi ti\u1ebft&quot;,&quot;link&quot;:&quot;eb-table-content-2&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;1. C\u1ea5u h\u00ecnh Adaptive Attack Protection tr\u00ean Sophos Central&quot;,&quot;text&quot;:&quot;1. C\u1ea5u h\u00ecnh Adaptive Attack Protection tr\u00ean Sophos Central&quot;,&quot;link&quot;:&quot;eb-table-content-3&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;1.1. Ki\u1ec3m tra c\u1ea5u h\u00ecnh Adaptive Attack Protection trong Policy&quot;,&quot;text&quot;:&quot;1.1. Ki\u1ec3m tra c\u1ea5u h\u00ecnh Adaptive Attack Protection trong Policy&quot;,&quot;link&quot;:&quot;eb-table-content-4&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;1.2. C\u01a1 ch\u1ebf ho\u1ea1t \u0111\u1ed9ng c\u1ee7a Adaptive Attack Protection&quot;,&quot;text&quot;:&quot;1.2. C\u01a1 ch\u1ebf ho\u1ea1t \u0111\u1ed9ng c\u1ee7a Adaptive Attack Protection&quot;,&quot;link&quot;:&quot;eb-table-content-5&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;2. K\u00edch ho\u1ea1t Adaptive Attack Protection b\u1eb1ng c\u00f4ng c\u1ee5 ki\u1ec3m th\u1eed&quot;,&quot;text&quot;:&quot;2. K\u00edch ho\u1ea1t Adaptive Attack Protection b\u1eb1ng c\u00f4ng c\u1ee5 ki\u1ec3m th\u1eed&quot;,&quot;link&quot;:&quot;eb-table-content-6&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;3. M\u00f4 ph\u1ecfng PowerShell b\u1ea5t th\u01b0\u1eddng&quot;,&quot;text&quot;:&quot;3. M\u00f4 ph\u1ecfng PowerShell b\u1ea5t th\u01b0\u1eddng&quot;,&quot;link&quot;:&quot;eb-table-content-7&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;3.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;text&quot;:&quot;3.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;link&quot;:&quot;eb-table-content-8&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;3.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;text&quot;:&quot;3.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;link&quot;:&quot;eb-table-content-9&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;4. M\u00f4 ph\u1ecfng leo thang \u0111\u1eb7c quy\u1ec1n&quot;,&quot;text&quot;:&quot;4. M\u00f4 ph\u1ecfng leo thang \u0111\u1eb7c quy\u1ec1n&quot;,&quot;link&quot;:&quot;eb-table-content-10&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;4.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;text&quot;:&quot;4.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;link&quot;:&quot;eb-table-content-11&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;4.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;text&quot;:&quot;4.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;link&quot;:&quot;eb-table-content-12&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;5. Ki\u1ec3m th\u1eed Safe Mode abuse&quot;,&quot;text&quot;:&quot;5. Ki\u1ec3m th\u1eed Safe Mode abuse&quot;,&quot;link&quot;:&quot;eb-table-content-13&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;5.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;text&quot;:&quot;5.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;link&quot;:&quot;eb-table-content-14&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;5.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;text&quot;:&quot;5.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;link&quot;:&quot;eb-table-content-15&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;6. Qu\u1ea3n l\u00fd Adaptive Attack Protection tr\u00ean t\u1eebng Endpoint&quot;,&quot;text&quot;:&quot;6. Qu\u1ea3n l\u00fd Adaptive Attack Protection tr\u00ean t\u1eebng Endpoint&quot;,&quot;link&quot;:&quot;eb-table-content-16&quot;},{&quot;level&quot;:2,&quot;content&quot;:&quot;IV - K\u1ebft lu\u1eadn&quot;,&quot;text&quot;:&quot;IV - K\u1ebft lu\u1eadn&quot;,&quot;link&quot;:&quot;eb-table-content-17&quot;}]" data-visible="[true,true,true,true,true,true]" data-delete-headers="[{&quot;label&quot;:&quot;I - T\u1ed5ng quan b\u00e0i vi\u1ebft&quot;,&quot;value&quot;:&quot;i-t\u1ed5ng-quan-b\u00e0i-vi\u1ebft&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;II - M\u1ee5c \u0111\u00edch b\u00e0i vi\u1ebft&quot;,&quot;value&quot;:&quot;ii-m\u1ee5c-\u0111\u00edch-b\u00e0i-vi\u1ebft&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;III - H\u01b0\u1edbng d\u1eabn chi ti\u1ebft&quot;,&quot;value&quot;:&quot;iii-h\u01b0\u1edbng-d\u1eabn-chi-ti\u1ebft&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;1. C\u1ea5u h\u00ecnh Adaptive Attack Protection tr\u00ean Sophos Central&quot;,&quot;value&quot;:&quot;1-c\u1ea5u-h\u00ecnh-adaptive-attack-protection-tr\u00ean-sophos-central&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;1.1. Ki\u1ec3m tra c\u1ea5u h\u00ecnh Adaptive Attack Protection trong Policy&quot;,&quot;value&quot;:&quot;11-ki\u1ec3m-tra-c\u1ea5u-h\u00ecnh-adaptive-attack-protection-trong-policy&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;1.2. C\u01a1 ch\u1ebf ho\u1ea1t \u0111\u1ed9ng c\u1ee7a Adaptive Attack Protection&quot;,&quot;value&quot;:&quot;12-c\u01a1-ch\u1ebf-ho\u1ea1t-\u0111\u1ed9ng-c\u1ee7a-adaptive-attack-protection&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;2. K\u00edch ho\u1ea1t Adaptive Attack Protection b\u1eb1ng c\u00f4ng c\u1ee5 ki\u1ec3m th\u1eed&quot;,&quot;value&quot;:&quot;2-k\u00edch-ho\u1ea1t-adaptive-attack-protection-b\u1eb1ng-c\u00f4ng-c\u1ee5-ki\u1ec3m-th\u1eed&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;3. M\u00f4 ph\u1ecfng PowerShell b\u1ea5t th\u01b0\u1eddng&quot;,&quot;value&quot;:&quot;3-m\u00f4-ph\u1ecfng-powershell-b\u1ea5t-th\u01b0\u1eddng&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;3.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;value&quot;:&quot;31-th\u1ef1c-hi\u1ec7n-ki\u1ec3m-th\u1eed&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;3.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;value&quot;:&quot;32-ki\u1ec3m-tra-log-tr\u00ean-sophos-central&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;4. M\u00f4 ph\u1ecfng leo thang \u0111\u1eb7c quy\u1ec1n&quot;,&quot;value&quot;:&quot;4-m\u00f4-ph\u1ecfng-leo-thang-\u0111\u1eb7c-quy\u1ec1n&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;4.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;value&quot;:&quot;41-th\u1ef1c-hi\u1ec7n-ki\u1ec3m-th\u1eed&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;4.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;value&quot;:&quot;42-ki\u1ec3m-tra-log-tr\u00ean-sophos-central&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;5. Ki\u1ec3m th\u1eed Safe Mode abuse&quot;,&quot;value&quot;:&quot;5-ki\u1ec3m-th\u1eed-safe-mode-abuse&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;5.1. Th\u1ef1c hi\u1ec7n ki\u1ec3m th\u1eed&quot;,&quot;value&quot;:&quot;51-th\u1ef1c-hi\u1ec7n-ki\u1ec3m-th\u1eed&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;5.2. Ki\u1ec3m tra Log tr\u00ean Sophos Central&quot;,&quot;value&quot;:&quot;52-ki\u1ec3m-tra-log-tr\u00ean-sophos-central&quot;,&quot;isDelete&quot;:true},{&quot;label&quot;:&quot;6. Qu\u1ea3n l\u00fd Adaptive Attack Protection tr\u00ean t\u1eebng Endpoint&quot;,&quot;value&quot;:&quot;6-qu\u1ea3n-l\u00fd-adaptive-attack-protection-tr\u00ean-t\u1eebng-endpoint&quot;,&quot;isDelete&quot;:false},{&quot;label&quot;:&quot;IV - K\u1ebft lu\u1eadn&quot;,&quot;value&quot;:&quot;iv-k\u1ebft-lu\u1eadn&quot;,&quot;isDelete&quot;:false}]" data-smooth="true" data-top-offset=""><div class="eb-toc__list-wrap"><ul class="eb-toc__list"><li><a href="#eb-table-content-0">I &#8211; Tổng quan bài viết</a><li><a href="#eb-table-content-1">II &#8211; Mục đích bài viết</a><li><a href="#eb-table-content-2">III &#8211; Hướng dẫn chi tiết</a><li><a href="#eb-table-content-3">1. Cấu hình Adaptive Attack Protection trên Sophos Central</a><li><a href="#eb-table-content-6">2. Kích hoạt Adaptive Attack Protection bằng công cụ kiểm thử</a><li><a href="#eb-table-content-7">3. Mô phỏng PowerShell bất thường</a><li><a href="#eb-table-content-10">4. Mô phỏng leo thang đặc quyền</a><li><a href="#eb-table-content-13">5. Kiểm thử Safe Mode abuse</a><li><a href="#eb-table-content-16">6. Quản lý Adaptive Attack Protection trên từng Endpoint</a><li><a href="#eb-table-content-17">IV &#8211; Kết luận</a></ul></div></div></div></div></div>


<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-oiy73"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-oiy73 "><div class="eb-advance-heading-wrapper eb-advance-heading-oiy73 button-1 undefined" data-id="eb-advance-heading-oiy73"><h2 class="eb-ah-title"><span class="first-title">I &#8211; Tổng quan bài viết</span></h2></div></div></div>



<p class="wp-block-paragraph">Adaptive Attack Protection (AAP) là một cơ chế phòng thủ nâng cao của Sophos Endpoint, được thiết kế để <strong>đối phó với các cuộc tấn công “hands-on-keyboard”</strong>, khi kẻ tấn công đã xâm nhập và đang trực tiếp thao tác trên máy nạn nhân.</p>



<p class="wp-block-paragraph">Không giống antivirus truyền thống hoặc cơ chế “block từng lệnh”, Adaptive Attack Protection hoạt động theo nguyên tắc:<strong> &#8220;Phân tích chuỗi hành vi tấn công và chủ động phá vỡ chuỗi đó trước khi attacker đạt được mục tiêu.&#8221;</strong></p>



<p class="wp-block-paragraph">AAP không chặn mọi thao tác ngay lập tức, mà:</p>



<ul class="wp-block-list">
<li>Cho phép một số hành động hợp lệ diễn ra</li>



<li>Sau đó kích hoạt <strong>Disrupt mode</strong> khi nhận diện attacker thật sự</li>



<li>Ngăn chặn các hành vi có giá trị tấn công như persistence, privilege abuse, remote access, post‑exploitation</li>
</ul>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-4vlua"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-4vlua "><div class="eb-advance-heading-wrapper eb-advance-heading-4vlua button-1 undefined" data-id="eb-advance-heading-4vlua"><h2 class="eb-ah-title"><span class="first-title">II &#8211; Mục đích bài viết</span></h2></div></div></div>



<ul class="wp-block-list">
<li>Hướng dẫn kiểm thử Adaptive Attack Protection <strong>đúng bản chất hoạt động</strong></li>



<li>Tránh hiểu sai rằng AAP phải “block mọi lệnh”</li>



<li>Minh họa rõ:
<ul class="wp-block-list">
<li>Hành vi nào attacker vẫn thực hiện được</li>



<li>Hành vi nào bị Adaptive Attack Protection <strong>ngăn chặn hoặc làm vô hiệu</strong></li>
</ul>
</li>



<li>Giúp quản trị viên hiểu đúng để <strong>demo, đào tạo hoặc đánh giá hệ thống</strong></li>
</ul>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-he8te"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-he8te "><div class="eb-advance-heading-wrapper eb-advance-heading-he8te button-1 undefined" data-id="eb-advance-heading-he8te"><h2 class="eb-ah-title"><span class="first-title">III &#8211; Hướng dẫn chi tiết</span></h2></div></div></div>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-iar4g"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-iar4g "><div class="eb-advance-heading-wrapper eb-advance-heading-iar4g button-1 undefined" data-id="eb-advance-heading-iar4g"><h2 class="eb-ah-title"><span class="first-title">1. Cấu hình Adaptive Attack Protection trên Sophos Central</span></h2></div></div></div>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-59my9"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-59my9 "><div class="eb-advance-heading-wrapper eb-advance-heading-59my9 button-1 undefined" data-id="eb-advance-heading-59my9"><h2 class="eb-ah-title"><span class="first-title">1.1. Kiểm tra cấu hình Adaptive Attack Protection trong Policy</span></h2></div></div></div>



<ol class="wp-block-list">
<li>Đăng nhập <strong>Sophos Central Admin</strong></li>



<li>Truy cập: <strong>Endpoint Protection</strong> → <strong>Policies</strong> → <strong>Threat Protection</strong></li>



<li>Mở policy đang áp dụng cho endpoint</li>



<li>Đảm bảo mục <strong>Adaptive Attack Protection</strong> được bật với các tùy chọn sau:
<ul class="wp-block-list">
<li>Turn on extra protections automatically when a device is under attack</li>



<li>Block safe mode abuse</li>



<li>Enable protection in safe mode</li>



<li>Block devices from communicating with compromised IP addresses</li>
</ul>
</li>
</ol>



<figure class="wp-block-image size-full"><img fetchpriority="high" decoding="async" width="2560" height="1176" src="https://vacif.com/wp-content/uploads/2026/05/image-148-scaled.png" alt="" class="wp-image-29977" srcset="https://vacif.com/wp-content/uploads/2026/05/image-148-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-148-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-148-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-148-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-148-1536x705.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-148-2048x940.png 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /></figure>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-dicok"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-dicok "><div class="eb-advance-heading-wrapper eb-advance-heading-dicok button-1 undefined" data-id="eb-advance-heading-dicok"><h2 class="eb-ah-title"><span class="first-title">1.2. Cơ chế hoạt động của Adaptive Attack Protection</span></h2></div></div></div>



<p class="wp-block-paragraph">Adaptive Attack Protection không luôn ở trạng thái active. Tính năng này chỉ được kích hoạt tự động khi Sophos phát hiện endpoint có dấu hiệu của một cuộc tấn công đang diễn ra. Khi đó, Sophos tạm thời harden endpoint để ngăn kẻ tấn công tiếp tục hoạt động.</p>



<p class="wp-block-paragraph">Việc bật Adaptive Attack Protection thủ công không làm tăng mức phát hiện hay bảo vệ, mà chỉ dùng để harden thiết bị tạm thời trong quá trình điều tra hoặc giám sát.</p>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-d5f7h"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-d5f7h "><div class="eb-advance-heading-wrapper eb-advance-heading-d5f7h button-1 undefined" data-id="eb-advance-heading-d5f7h"><h2 class="eb-ah-title"><span class="first-title">2. Kích hoạt Adaptive Attack Protection bằng công cụ kiểm thử</span></h2></div></div></div>



<p class="wp-block-paragraph">Để kích hoạt Adaptive Attack Protection theo kịch bản kiểm thử, trên máy đã cài Sophos Endpoint, truy cập trang <a href="https://www.sophostest.com"><strong>sophostest.com</strong></a> và chọn mục <strong>Adaptive Attack Protection</strong> trong phần Recommended Tests. Tại đây, tải gói kiểm thử về máy.</p>



<figure class="wp-block-image size-full"><img decoding="async" width="2560" height="1176" src="https://vacif.com/wp-content/uploads/2026/05/image-149-scaled.png" alt="" class="wp-image-29978" srcset="https://vacif.com/wp-content/uploads/2026/05/image-149-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-149-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-149-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-149-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-149-1536x706.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-149-2048x941.png 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /></figure>



<p class="wp-block-paragraph">Sau khi tải xong, giải nén thư mục kiểm thử. Trong thư mục tải về sẽ xuất hiện các file thực thi, bao gồm <strong>sophostest-aap.exe</strong> và <strong>sophostest-aap-rule.exe</strong></p>



<figure class="wp-block-image size-full"><img decoding="async" width="2560" height="467" src="https://vacif.com/wp-content/uploads/2026/05/image-150-scaled.png" alt="" class="wp-image-29979" srcset="https://vacif.com/wp-content/uploads/2026/05/image-150-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-150-300x55.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-150-1024x187.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-150-768x140.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-150-1536x280.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-150-2048x373.png 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /></figure>



<p class="wp-block-paragraph">Thực thi file <strong>sophostest-aap.exe</strong>. Sau khi chạy file <strong>sophostest-aap.exe</strong>, Sophos Endpoint lập tức chặn thực thi và hiển thị cảnh báo <strong>Threat detected</strong> trên giao diện máy người dùng.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2441" height="1373" src="https://vacif.com/wp-content/uploads/2026/05/image-151.png" alt="" class="wp-image-29980" srcset="https://vacif.com/wp-content/uploads/2026/05/image-151.png 2441w, https://vacif.com/wp-content/uploads/2026/05/image-151-300x169.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-151-1024x576.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-151-768x432.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-151-1536x864.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-151-2048x1152.png 2048w, https://vacif.com/wp-content/uploads/2026/05/image-151-800x450.png 800w" sizes="auto, (max-width: 2441px) 100vw, 2441px" /></figure>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-tfan2"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-tfan2 "><div class="eb-advance-heading-wrapper eb-advance-heading-tfan2 button-1 undefined" data-id="eb-advance-heading-tfan2"><h2 class="eb-ah-title"><span class="first-title">3. Mô phỏng PowerShell bất thường</span></h2></div></div></div>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-uikn6"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-uikn6 "><div class="eb-advance-heading-wrapper eb-advance-heading-uikn6 button-1 undefined" data-id="eb-advance-heading-uikn6"><h2 class="eb-ah-title"><span class="first-title">3.1. Thực hiện kiểm thử</span></h2></div></div></div>



<p class="wp-block-paragraph">Thực hiện lệnh PowerShell với cơ chế bypass để mô phỏng hành vi attacker tải dữ liệu từ bên ngoài:</p>



<div class="wp-block-essential-blocks-text  root-eb-text-eq52a"><div class="eb-parent-wrapper eb-parent-eb-text-eq52a "><div class="eb-text-wrapper eb-text-eq52a" data-id="eb-text-eq52a"><p class="eb-text"><strong><em>powershell.exe -ExecutionPolicy Bypass -NoProfile -Command &#8220;Invoke-WebRequest https://example.com&#8221;</em></strong></p></div></div></div>



<p class="wp-block-paragraph">Ngay khi lệnh được thực thi, PowerShell trả về lỗi <strong>Access is denied</strong>, cho thấy thao tác đã bị chặn. Đồng thời, Sophos Endpoint Agent sinh cảnh báo <strong>Threat detected</strong> trên giao diện người dùng.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2379" height="1329" src="https://vacif.com/wp-content/uploads/2026/05/image-152.png" alt="" class="wp-image-29981" srcset="https://vacif.com/wp-content/uploads/2026/05/image-152.png 2379w, https://vacif.com/wp-content/uploads/2026/05/image-152-300x168.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-152-1024x572.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-152-768x429.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-152-1536x858.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-152-2048x1144.png 2048w" sizes="auto, (max-width: 2379px) 100vw, 2379px" /></figure>



<p class="wp-block-paragraph">Trong popup thông báo, Sophos ghi nhận sự kiện <strong>Disrupt_7f (T1105)</strong> liên quan tới tiến trình powershell.exe, cho thấy hành vi PowerShell bị đánh giá là nguy hiểm và bị ngăn chặn.</p>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-y9ney"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-y9ney "><div class="eb-advance-heading-wrapper eb-advance-heading-y9ney button-1 undefined" data-id="eb-advance-heading-y9ney"><h2 class="eb-ah-title"><span class="first-title">3.2. Kiểm tra Log trên Sophos Central</span></h2></div></div></div>



<p class="wp-block-paragraph">Sau khi thực hiện kiểm thử hành vi PowerShell bất thường trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục <strong>Detections</strong> thuộc <strong>Threat Analysis Center</strong>. </p>



<p class="wp-block-paragraph">Trong danh sách detections, sự kiện được hiển thị với mức độ <strong>High</strong>, loại <strong>Threat</strong>, và rule <strong>WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑7F‑T1105</strong>, thuộc nhóm <strong>Command and Control.</strong></p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2560" height="1176" src="https://vacif.com/wp-content/uploads/2026/05/image-153-scaled.png" alt="" class="wp-image-29982" srcset="https://vacif.com/wp-content/uploads/2026/05/image-153-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-153-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-153-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-153-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-153-1536x706.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-153-2048x941.png 2048w" sizes="auto, (max-width: 2560px) 100vw, 2560px" /></figure>



<p class="wp-block-paragraph">Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình <strong>powershell.exe</strong> (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe) đã thực thi lệnh tải nội dung từ mạng ngoài. Trường <strong>Process Command Line</strong> ghi nhận lệnh PowerShell sử dụng <strong>ExecutionPolicy Bypass</strong> và <strong>Invoke‑WebRequest</strong>, phản ánh chính xác hành vi PowerShell bất thường đã được thực hiện trên endpoint.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="1661" height="763" src="https://vacif.com/wp-content/uploads/2026/05/image-154.png" alt="" class="wp-image-29983" srcset="https://vacif.com/wp-content/uploads/2026/05/image-154.png 1661w, https://vacif.com/wp-content/uploads/2026/05/image-154-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-154-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-154-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-154-1536x706.png 1536w" sizes="auto, (max-width: 1661px) 100vw, 1661px" /></figure>



<p class="wp-block-paragraph">Sự kiện này được Sophos phân loại theo kỹ thuật <strong>T1105 (Ingress Tool Transfer)</strong>, cho thấy nỗ lực sử dụng PowerShell để tải nội dung từ bên ngoài hệ thống đã bị phát hiện và xử lý ở mức độ hành vi.</p>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-pul0z"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-pul0z "><div class="eb-advance-heading-wrapper eb-advance-heading-pul0z button-1 undefined" data-id="eb-advance-heading-pul0z"><h2 class="eb-ah-title"><span class="first-title">4. Mô phỏng leo thang đặc quyền</span></h2></div></div></div>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-nsrd0"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-nsrd0 "><div class="eb-advance-heading-wrapper eb-advance-heading-nsrd0 button-1 undefined" data-id="eb-advance-heading-nsrd0"><h2 class="eb-ah-title"><span class="first-title">4.1. Thực hiện kiểm thử</span></h2></div></div></div>



<p class="wp-block-paragraph">Sau khi endpoint đã ở trong trạng thái bị giám sát, tiếp tục mô phỏng hành vi leo thang đặc quyền – kỹ thuật thường được attacker sử dụng để duy trì và mở rộng quyền kiểm soát hệ thống.</p>



<p class="wp-block-paragraph">Thực hiện tạo một tài khoản cục bộ mới:</p>



<p class="wp-block-paragraph"><strong><em>net user phongattack Password /add</em></strong></p>



<p class="wp-block-paragraph">Lệnh tạo user được Windows thực thi thành công. Tuy nhiên, khi attacker cố gắng thêm user này vào nhóm <strong>Administrators</strong> để chiếm quyền quản trị hệ thống:</p>



<p class="wp-block-paragraph"><strong><em>net localgroup administrators phongattack /add</em></strong></p>



<p class="wp-block-paragraph">Hệ thống trả về lỗi <strong>Access is denied</strong>, cho thấy thao tác leo thang đặc quyền đã bị chặn. Đồng thời, Sophos Endpoint Agent ghi nhận hành vi này và phát sinh cảnh báo <strong>Disrupt_5a (T1136)</strong> liên quan đến kỹ thuật tạo tài khoản với mục đích leo thang đặc quyền.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="1611" height="863" src="https://vacif.com/wp-content/uploads/2026/05/image-155.png" alt="" class="wp-image-29984" srcset="https://vacif.com/wp-content/uploads/2026/05/image-155.png 1611w, https://vacif.com/wp-content/uploads/2026/05/image-155-300x161.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-155-1024x549.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-155-768x411.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-155-1536x823.png 1536w" sizes="auto, (max-width: 1611px) 100vw, 1611px" /></figure>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-bitlx"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-bitlx "><div class="eb-advance-heading-wrapper eb-advance-heading-bitlx button-1 undefined" data-id="eb-advance-heading-bitlx"><h2 class="eb-ah-title"><span class="first-title">4.2. Kiểm tra Log trên Sophos Central</span></h2></div></div></div>



<p class="wp-block-paragraph">Sau khi thực hiện kiểm thử hành vi leo thang đặc quyền trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục <strong>Detections</strong> thuộc <strong>Threat Analysis Center</strong>.</p>



<p class="wp-block-paragraph">Trong danh sách detections, sự kiện được hiển thị với mức độ <strong>Medium</strong>, loại <strong>Threat</strong>, và rule <strong>WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑5A‑T1136‑001</strong>.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2560" height="1176" src="https://vacif.com/wp-content/uploads/2026/05/image-156-scaled.png" alt="" class="wp-image-29985" srcset="https://vacif.com/wp-content/uploads/2026/05/image-156-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-156-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-156-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-156-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-156-1536x705.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-156-2048x941.png 2048w" sizes="auto, (max-width: 2560px) 100vw, 2560px" /></figure>



<p class="wp-block-paragraph">Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình <strong><em>C:\Windows\System32\net.exe</em></strong> đã thực hiện lệnh thêm tài khoản vào nhóm quản trị. Trường <strong>Process Command Line</strong> ghi nhận lệnh net localgroup administrators phongattack /add, phản ánh chính xác thao tác leo thang đặc quyền đã được thực hiện trên endpoint.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2130" height="978" src="https://vacif.com/wp-content/uploads/2026/05/image-157.png" alt="" class="wp-image-29986" srcset="https://vacif.com/wp-content/uploads/2026/05/image-157.png 2130w, https://vacif.com/wp-content/uploads/2026/05/image-157-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-157-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-157-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-157-1536x705.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-157-2048x940.png 2048w" sizes="auto, (max-width: 2130px) 100vw, 2130px" /></figure>



<p class="wp-block-paragraph">Sự kiện này được Sophos phân loại theo kỹ thuật <strong>T1136</strong> (Create Account), cho thấy hành vi leo thang đặc quyền đã bị nhận diện và xử lý ở mức độ hành vi, ngay cả khi lệnh được thực thi bởi thành phần hệ thống hợp lệ</p>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-dkk9a"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-dkk9a "><div class="eb-advance-heading-wrapper eb-advance-heading-dkk9a button-1 undefined" data-id="eb-advance-heading-dkk9a"><h2 class="eb-ah-title"><span class="first-title">5. Kiểm thử Safe Mode abuse</span></h2></div></div></div>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-kan4q"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-kan4q "><div class="eb-advance-heading-wrapper eb-advance-heading-kan4q button-1 undefined" data-id="eb-advance-heading-kan4q"><h2 class="eb-ah-title"><span class="first-title">5.1. Thực hiện kiểm thử</span></h2></div></div></div>



<p class="wp-block-paragraph">Trong một số kịch bản tấn công, attacker cố gắng cấu hình hệ thống khởi động vào <strong>Safe Mode</strong> với mục đích làm suy giảm hoặc né tránh các giải pháp bảo mật đang hoạt động. Để mô phỏng hành vi này, attacker sử dụng công cụ <strong>System Configuration (msconfig.exe)</strong> và bật tùy chọn <strong>Safe boot</strong> cho hệ điều hành hiện tại.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="1948" height="1270" src="https://vacif.com/wp-content/uploads/2026/05/image-158.png" alt="" class="wp-image-29987" srcset="https://vacif.com/wp-content/uploads/2026/05/image-158.png 1948w, https://vacif.com/wp-content/uploads/2026/05/image-158-300x196.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-158-1024x668.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-158-768x501.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-158-1536x1001.png 1536w" sizes="auto, (max-width: 1948px) 100vw, 1948px" /></figure>



<p class="wp-block-paragraph">Khi thao tác áp dụng cấu hình Safe Mode được thực hiện, Sophos Endpoint phát hiện hành vi bất thường liên quan đến việc thay đổi cơ chế khởi động. Trên máy người dùng, Sophos Endpoint Agent hiển thị cảnh báo với thông báo <strong>Disrupt_4a (T1562.009)</strong> đối với tiến trình <strong><em>C:\Windows\System32\msconfig.exe</em></strong>, cho thấy hành vi lạm dụng Safe Mode đã bị nhận diện và ngăn chặn.</p>



<figure class="wp-block-image size-full is-resized"><img loading="lazy" decoding="async" width="1907" height="738" src="https://vacif.com/wp-content/uploads/2026/05/image-159.png" alt="" class="wp-image-29988" style="aspect-ratio:2.584070371082484;width:543px;height:auto" srcset="https://vacif.com/wp-content/uploads/2026/05/image-159.png 1907w, https://vacif.com/wp-content/uploads/2026/05/image-159-300x116.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-159-1024x396.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-159-768x297.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-159-1536x594.png 1536w" sizes="auto, (max-width: 1907px) 100vw, 1907px" /></figure>



<p class="wp-block-paragraph">Kết quả là hệ thống không cho phép áp dụng cấu hình khởi động vào Safe Mode, đảm bảo các thành phần bảo mật vẫn hoạt động đầy đủ và attacker không thể sử dụng Safe Mode để bypass cơ chế bảo vệ.</p>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-9aqcw"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-9aqcw "><div class="eb-advance-heading-wrapper eb-advance-heading-9aqcw button-1 undefined" data-id="eb-advance-heading-9aqcw"><h2 class="eb-ah-title"><span class="first-title">5.2. Kiểm tra Log trên Sophos Central</span></h2></div></div></div>



<p class="wp-block-paragraph">Sau khi thực hiện kiểm thử hành vi lạm dụng Safe Mode trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục <strong>Detections</strong> thuộc <strong>Threat Analysis Center</strong>.</p>



<p class="wp-block-paragraph">Trong danh sách detections, sự kiện được hiển thị với mức độ <strong>Medium</strong>, loại <strong>Threat</strong>, và rule <strong>WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑4A‑T1562.009</strong>, phản ánh hành vi cố gắng làm suy yếu cơ chế bảo vệ hệ thống thông qua thay đổi cấu hình khởi động.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2560" height="1176" src="https://vacif.com/wp-content/uploads/2026/05/image-160-scaled.png" alt="" class="wp-image-29989" srcset="https://vacif.com/wp-content/uploads/2026/05/image-160-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-160-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-160-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-160-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-160-1536x705.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-160-2048x941.png 2048w" sizes="auto, (max-width: 2560px) 100vw, 2560px" /></figure>



<p class="wp-block-paragraph">Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình <strong>msconfig.exe</strong> (C:\Windows\System32\msconfig.exe) đã thực hiện thao tác thay đổi cấu hình boot. Trường <strong>Process Command Line</strong> ghi nhận trực tiếp việc gọi msconfig.exe, trong khi <strong>Parent Process Path</strong> là C:\Windows\System32\svchost.exe. Detection được ghi nhận trên endpoint <em>PHONG‑VACIF</em> và gắn với người dùng <em>PHONG YANG LAKE</em>.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2560" height="1176" src="https://vacif.com/wp-content/uploads/2026/05/image-161-scaled.png" alt="" class="wp-image-29990" srcset="https://vacif.com/wp-content/uploads/2026/05/image-161-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-161-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-161-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-161-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-161-1536x705.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-161-2048x941.png 2048w" sizes="auto, (max-width: 2560px) 100vw, 2560px" /></figure>



<p class="wp-block-paragraph">Sophos phân loại hành vi này theo kỹ thuật <strong>T1562.009</strong>, cho thấy nỗ lực vô hiệu hóa hoặc né tránh các biện pháp bảo vệ thông qua Safe Mode đã bị phát hiện và xử lý ở mức độ hành vi</p>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-p7al9"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-p7al9 "><div class="eb-advance-heading-wrapper eb-advance-heading-p7al9 button-1 undefined" data-id="eb-advance-heading-p7al9"><h2 class="eb-ah-title"><span class="first-title">6. Quản lý Adaptive Attack Protection trên từng Endpoint</span></h2></div></div></div>



<ol class="wp-block-list">
<li>Truy cập: Endpoint → chọn thiết bị</li>



<li>Mở menu <strong>Actions</strong></li>



<li>Các tùy chọn liên quan đến Adaptive Attack Protection:
<ul class="wp-block-list">
<li>Extend Adaptive Attack Protection</li>



<li>Turn off Adaptive Attack Protection</li>
</ul>
</li>
</ol>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="2560" height="1175" src="https://vacif.com/wp-content/uploads/2026/05/image-162-scaled.png" alt="" class="wp-image-29991" srcset="https://vacif.com/wp-content/uploads/2026/05/image-162-scaled.png 2560w, https://vacif.com/wp-content/uploads/2026/05/image-162-300x138.png 300w, https://vacif.com/wp-content/uploads/2026/05/image-162-1024x470.png 1024w, https://vacif.com/wp-content/uploads/2026/05/image-162-768x353.png 768w, https://vacif.com/wp-content/uploads/2026/05/image-162-1536x705.png 1536w, https://vacif.com/wp-content/uploads/2026/05/image-162-2048x940.png 2048w" sizes="auto, (max-width: 2560px) 100vw, 2560px" /></figure>



<p class="wp-block-paragraph"><strong>**Lưu ý: </strong>chỉ tắt Adaptive Attack Protection sau khi đã điều tra và xử lý xong sự cố.</p>



<div class="wp-block-essential-blocks-advanced-heading  root-eb-advance-heading-91mg7"><div class="eb-parent-wrapper eb-parent-eb-advance-heading-91mg7 "><div class="eb-advance-heading-wrapper eb-advance-heading-91mg7 button-1 undefined" data-id="eb-advance-heading-91mg7"><h2 class="eb-ah-title"><span class="first-title">IV &#8211; Kết luận</span></h2></div></div></div>



<p class="wp-block-paragraph">Qua các kịch bản kiểm thử PowerShell bất thường, leo thang đặc quyền và Safe Mode abuse, có thể xác nhận Adaptive Attack Protection trên Sophos Endpoint đã hoạt động đúng. Các hành vi hậu khai thác quan trọng đều bị phát hiện và ghi log đầy đủ trên Sophos Central dưới dạng Behavioral Disrupt.</p>



<p class="wp-block-paragraph">Adaptive Attack Protection không chặn từng lệnh riêng lẻ, mà tập trung ngăn attacker tiếp tục mở rộng và hoàn tất chuỗi tấn công, đồng thời cung cấp đầy đủ log phục vụ điều tra và xử lý sau sự cố.</p>



<p class="wp-block-paragraph"></p>
]]></content:encoded>
					
					<wfw:commentRss>https://vacif.com/moi-nhat-2026-sophos-endpoint-huong-dan-kiem-thu-adaptive-attack-protection/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
