Trong bối cảnh ngành Y tế đẩy mạnh chuyển đổi số và triển khai bệnh án điện tử, việc tuân thủ các yêu cầu an toàn thông tin theo cấp độ 2, 3 không chỉ là bắt buộc mà còn là yếu tố then chốt giúp bảo vệ dữ liệu bệnh nhân và đảm bảo hệ thống vận hành ổn định.

Sự kiện do VaciF (Host) phối hợp cùng INNET – Đơn vị phân phối giải pháp CNTT đồng tổ chức. Cùng với sự trình bày của Mr. Tuấn Lê (VaciF Technical Director), Mr. Khôi Nguyễn (Sophos Senior Sales Engineer) và  Mr. Khoa Vũ (VaciF Technical Engineer).

Tham gia webinar quý khách sẽ nắm trọn:
Cách xây dựng hồ sơ cấp độ 2, 3 theo quy định

• Hiểu rõ yêu cầu ATTT cho hệ thống Y tế
• Phân loại hệ thống & xác định cấp độ phù hợp
• Hướng dẫn xây dựng hồ sơ và các lưu ý quan trọng khi triển khai

Giải pháp hạ tầng ảo hóa tối ưu chi phí

• Mô hình phù hợp cho bệnh viện, cơ sở y tế
• Giải pháp thay thế VMware giúp tiết kiệm ngân sách
• Tăng khả năng mở rộng, đảm bảo tính sẵn sàng

Triển khai bảo mật đáp ứng cấp độ 2, 3

• Xây dựng kiến trúc bảo mật tổng thể
• Triển khai Firewall, Endpoint, MDR/XDR
• Phân tách mạng, kiểm soát truy cập & bảo vệ dữ liệu
• Giám sát, cảnh báo & ứng phó sự cố

Đối tượng tham dự: CIO, IT Manager, phòng CNTT bệnh viện, đơn vị triển khai & tích hợp hệ thống Y tế

Thời gian: 9h30 AM – Thứ Năm, ngày 28/05/2026
Hình thức: Trực tuyến qua Zoom | Miễn phí 100%

Đăng ký tham dự tại đây: [ Liên hệ VaciF nếu quý khách thuộc đối tượng tham dự để nhận link đăng ký ]

Sophos XDR tích hợp các tính năng Trí tuệ nhân tạo (AI) trực tiếp trong nền tảng Sophos Central, nhằm hỗ trợ quản trị viên và đội ngũ SOC phân tích, điều tra và hiểu rõ sự cố bảo mật một cách nhanh chóng và chính xác hơn.

Các tính năng AI trong Sophos XDR được thiết kế để:

• Chuyển dữ liệu kỹ thuật phức tạp thành ngôn ngữ dễ hiểu
• Giảm thời gian điều tra sự cố
• Hỗ trợ cả người dùng không chuyên sâu về SOC/SQL
• Chuẩn hóa quá trình phân tích và báo cáo sự cố

Tài liệu này nhằm:

• Hướng dẫn sử dụng các tính năng AI trong Sophos XDR
• Đánh giá khả năng hỗ trợ vận hành bảo mật thực tế
• Giúp quản trị viên khai thác hiệu quả AI trong Sophos Central
• Làm tài liệu tham khảo cho vận hành, đào tạo và báo cáo

AI Search là tính năng cho phép tìm kiếm dữ liệu trong Sophos Data Lake bằng ngôn ngữ tự nhiên, không cần viết các câu truy vấn SQL.

AI Search có thể tìm kiếm:

• Detection (cảnh báo bảo mật)
• Dữ liệu endpoint
• Indicators of Compromise (IOC) như:
  • Địa chỉ IP
  • Tên người dùng
  • File
  • Hoạt động trên endpoint

A. Yêu cầu license
Để sử dụng AI Search, tài khoản phải có một trong các license sau:

• Sophos EDR
• Sophos XDR
• Sophos MDR

B. Giới hạn hệ điều hành

• Tìm kiếm Endpoint Data hiện chỉ hỗ trợ Windows devices

Đăng nhập Sophos Central → Threat Analysis Center → Chọn AI Search

Chọn loại dữ liệu cần tìm:

• Detections
• Endpoint Data (Windows only)

Người dùng có thể tìm kiếm theo hai cách:

Cách 1: Sử dụng truy vấn gợi ý

• Khi mở AI Search, hệ thống hiển thị các truy vấn gợi ý
• Nhấn chọn một truy vấn
• Có thể chỉnh sửa nội dung hoặc thêm khoảng thời gian (ví dụ: last 7 day)
• Nhấn Search để chạy truy vấn

AI Search sẽ tự động phân tích câu hỏi và truy vấn dữ liệu phù hợp trong Data Lake.

Cách 2: Nhập câu hỏi tùy chỉnh

• Nhập câu hỏi bằng ngôn ngữ tự nhiên, ví dụ:
  • Show detections where hostname = “PHONG-VACIF” in the last 7 days
• Nhấn Search

AI Search sẽ tự động phân tích câu hỏi và truy vấn dữ liệu phù hợp trong Data Lake.

• Kết quả hiển thị dạng bảng, tối đa 1.000 bản ghi
• Dữ liệu được lưu trữ:
  • 90 ngày (mặc định)
  • 1 năm nếu có license Central Data 1-Year Storage Pack
• Có thể:
  • Nhấn vào Detection Rule để xem chi tiết detection

Người dùng có thể xem Generated Query để tham khảo truy vấn SQL mà AI Search tạo ra.

Lưu truy vấn để sử dụng lại trong Live Discover

Xuất kết quả ra file CSV

Sao chép truy vấn SQL cho mục đích phân tích nâng cao

AI Assistant là trợ lý AI trung tâm trong Sophos Central, cho phép người dùng tương tác bằng hội thoại để hỗ trợ điều tra sự cố và threat hunting.

AI Assistant giúp người dùng phân tích dữ liệu bảo mật, hiểu ngữ cảnh sự cố và xác định hướng xử lý tiếp theo mà không cần thực hiện các thao tác thủ công phức tạp.

AI Assistant không tự động thực hiện hành động xử lý, mà đóng vai trò hỗ trợ phân tích, giải thích và định hướng điều tra.

Người dùng truy cập AI Assistant theo các bước sau:

1. Đăng nhập Sophos Central
2. Trên thanh menu, chọn AI
3. Chọn Assistant
4. Nhấn New để bắt đầu một phiên làm việc mới

Ngoài ra, khi đang điều tra một Case, người dùng có thể khởi động AI Assistant trực tiếp từ Threat Analysis → Cases → Ask Sophos AI.

Sau khi khởi động, người dùng nhập câu hỏi vào cửa sổ chat để tương tác với AI.
AI Assistant hỗ trợ hỏi–đáp nhiều lượt và ghi nhớ ngữ cảnh của phiên làm việc hiện tại.

Trong quá trình sử dụng, tùy theo mục đích, AI Assistant sẽ hoạt động dưới hai chế độ khác nhau:

Chọn Security Analyst

Hệ thống hiển thị danh sách các Case hiện có

• Bao gồm cả Sophos‑managed cases và Self‑managed cases

Nhấn chọn Case ID để bắt đầu phiên làm việc

Khi Case được chọn, AI Assistant sẽ tự động thu thập thông tin Case và Detection liên quan để xác định ngữ cảnh của phiên chat.

Tại trang chat, người dùng có thể nhập câu hỏi theo các cách sau:

• Chọn prompt có sẵn để tự động điền vào ô nhập (ví dụ: What actions can I perform?).
• Chỉnh sửa nội dung prompt trước khi gửi nếu cần.
• Nhập ký tự / để xem thêm danh sách prompt gợi ý.
• Nhập prompt tùy chỉnh bằng ngôn ngữ tự nhiên, ví dụ:
  Check for processes communicating with IP address 10.0.1.108 in the past 24 hours.
• Nhấn Send để gửi câu hỏi.

Khi phản hồi sẵn sàng, AI Assistant sẽ hiển thị kết quả trực tiếp trên trang chat và lưu phiên trò chuyện ở khung bên trái.

Người dùng có thể tiếp tục đặt câu hỏi trong cùng phiên chat để tinh chỉnh điều tra. AI Assistant ghi nhớ ngữ cảnh để trả lời chính xác các câu hỏi tiếp theo.

Để kết thúc, đóng trang Sophos AI hoặc chọn New để tạo phiên chat mới. Phiên cũ vẫn được lưu trong danh sách bên trái.

Threat Hunter Assistant được sử dụng cho threat hunting chủ động, cho phép tìm kiếm các tác nhân độc hại và Indicators of Compromise (IOC) trong dữ liệu Sophos Data Lake.
Assistant này không giới hạn trong một Case cụ thể và hỗ trợ mở rộng điều tra trong toàn bộ môi trường.

***Lưu ý: Threat Hunter Assistant chỉ hỗ trợ Self-managed threat cases.

Nhấn Threat Hunter để bắt đầu phiên threat hunting.

Tại trang chat, người dùng có thể nhập câu hỏi theo các cách sau:

• Nhấn chọn prompt có sẵn để tự động thêm vào ô nhập (ví dụ: What actions can I perform?).
• Chỉnh sửa nội dung prompt trong ô nhập nếu cần.
• Nhập ký tự / để xem thêm danh sách prompt gợi ý.
• Nhập prompt tùy chỉnh bằng ngôn ngữ tự nhiên, ví dụ:
  Check for processes communicating with IP address 10.0.1.108 on any endpoint in the past 24 hours.
• Nhấn Send để gửi câu hỏi.

Khi phản hồi sẵn sàng, AI Assistant sẽ hiển thị kết quả trên trang chat.
Phiên trò chuyện đồng thời được lưu và hiển thị trong danh sách bên trái.

Người dùng có thể tiếp tục nhập thêm prompt trong cùng phiên chat để tinh chỉnh quá trình hunting, ví dụ:

• Is that device online?
• Who was logged in at that time?

AI Assistant ghi nhớ các prompt trước đó trong phiên chat hiện tại để duy trì ngữ cảnh cho các câu hỏi tiếp theo.

Để kết thúc phiên, đóng trang Sophos AI hoặc nhấn New để bắt đầu phiên chat mới.
Phiên chat kết thúc sẽ được xóa khỏi trang hiển thị chính nhưng vẫn còn trong danh sách bên trái.

Chỉ người tạo hội thoại mới xem được nội dung chat. Các phản hồi được lưu vào Case Notebook sẽ hiển thị cho những admin có quyền truy cập Case đó. Người dùng có thể mở lại hoặc xóa các phiên hội thoại đã tạo.

AI Case Summary là tính năng AI trong Sophos Central giúp tự động tóm tắt nội dung của một Case bảo mật.

Tính năng này phân tích các detection liên quan để cung cấp cái nhìn tổng quan, giúp người dùng nhanh chóng hiểu được bản chất sự cố và hướng xử lý.

Cách sử dụng AI Case Summary

1. Đăng nhập Sophos Central
2. Vào Threat Analysis → Cases
3. Mở Case cần điều tra
4. Chọn AI Case Summary

Hệ thống sẽ tự động phân tích Case và tạo bản tóm tắt.

AI Case Summary thường bao gồm:

• Tổng quan sự cố: mô tả ngắn gọn những gì đã xảy ra
• Đối tượng liên quan: endpoint và user bị ảnh hưởng
• Chuỗi detection: các sự kiện chính trong Case
• MITRE ATT&CK: tactics và techniques được xác định (nếu có)
• Gợi ý bước tiếp theo: hướng điều tra hoặc xử lý bổ sung

AI Command Analysis là tính năng AI dùng để phân tích các command line nghi vấn trong detection.

Tính năng này giúp xác định mục đích thực thi, hành vi của command và đánh giá tác động tiềm ẩn đối với hệ thống. Trong trường hợp command bị obfuscate, hệ thống có thể tự động giải mã để hỗ trợ phân tích.

Cách sử dụng AI Command Analysis

1. Mở Threat Analysis → Cases hoặc Detections
2. Chọn detection cần phân tích
3. Tại phần Command Line, chọn AI Command Analysis

AI sẽ tự động phân tích command và hiển thị kết quả.

AI Command Analysis thường hiển thị:

• Giải thích command bằng ngôn ngữ tự nhiên
• Nội dung command đã được giải mã (nếu có)
• Các hành vi chính của command (tải file, thực thi, kết nối mạng…)
• Đánh giá tác động bảo mật tiềm ẩn đối với hệ thống

Các tính năng AI trong Sophos XDR đóng vai trò hỗ trợ mạnh mẽ cho quá trình điều tra và phân tích sự cố bảo mật, giúp:

• Rút ngắn thời gian nắm bắt sự cố
• Giảm thao tác thủ công và đọc log phức tạp
• Chuẩn hóa cách phân tích giữa các thành viên trong đội vận hành
• Hỗ trợ tốt cho cả người mới lẫn người có kinh nghiệm

Khi được sử dụng đúng cách và thường xuyên, AI trong Sophos XDR giúp nâng cao hiệu quả vận hành bảo mật, đồng thời giảm áp lực cho đội IT và SOC trong việc xử lý các mối đe dọa ngày càng phức tạp.

Zero-day Protection được vận hành bởi SophosLabs Intelix, là một dịch vụ đám mây kết hợp machine learning, sandboxing và năng lực nghiên cứu mối đe dọa để phát hiện cả các mối nguy đã biết và chưa biết thông qua việc phân tích các tệp tải xuống đáng ngờ và file đính kèm email.

Sophos Firewall sẽ gửi các tệp mới đến SophosLabs Intelix để thực hiện phân tích bảo vệ zero-day khi các tệp này đi vào mạng của bạn. Intelix sử dụng nhiều lớp phân tích để xác định mức độ rủi ro mà từng tệp có thể gây ra cho hệ thống mạng. Ngoài việc chặn các tệp nguy hiểm, tính năng zero-day protection còn cung cấp các báo cáo phân tích chi tiết giúp bạn hiểu rõ mức độ rủi ro của từng tệp.

SophosLabs Intelix sử dụng nhiều mô hình machine learning để phân tích đặc điểm, tính năng, mã di truyền (genetics) và uy tín toàn cầu của tệp. Hệ thống sẽ so sánh các tệp mới với hàng triệu tệp đã được xác định là an toàn hoặc độc hại để đánh giá khả năng tệp mới có phải là mã độc hay không.

Phân tích sandbox thực hiện cả phân tích động và phân tích tĩnh đối với các tệp mới đi vào mạng của bạn. Quá trình này bao gồm:

• Phân tích bằng deep learning
• Phát hiện khai thác lỗ hổng (exploit detection)
• Công nghệ CryptoGuard để phát hiện ransomware đang mã hóa dữ liệu theo thời gian thực

PC/laptop người dùng trong mạng sẽ thực hiện download các tệp đáng ngờ trên trình duyệt Chrome, khi đó Sophos firewall đã cấu hình tính năng Zero-day sẽ thực hiệnscan file download từ trình duyệt Chrome với protocol HTTP/HTTPS, với các tệp đáng ngờ sẽ có action là block download.

Kiểm tra cài đặt Zero-day Protection vào mục Zero-day Protection > Protection Settings > Data Center Location chọn Let Sophos Decide.

Di chuyển xuống mục Certificate > Certificate Authorities > chọn download Security Appliance SSL_CA.

Di chuyển qua máy tính của người dùng, add Certificates, chọn All tasks > Import

Chọn Browse, click chọn Certificates SSL_CA vừa tải xuống ở bước trên. Click Next

Chọn Place all certificates in following store. Chọn Trust root Certificates Authorities. Click Next

Chọn Finish. Import thành công.

Truy cập Rule and policies > Firewall rules > Add firewall rule > New firewall rule.

• Rule Name: Điền tên bạn muốn
• Action: chọn Accept
• Tích chọn Log firewall traffic để xem log match với rule này
• Source zone: LAN
• Source networks and devices: Test_VM (IP:123.123.123.203/24)
• Destination Zones: WAN
• Destination networks: Any
• Services: Any

Trong Web Policy chọn Scan HTTP and Decrypted HTTPS và Use Zero-day Protection để sử dụng tính năng này.

Nhấn Save để lưu

Di chuyển đến tab Rules and policies. > Chọn tab SSL/TLS inspection rules > Click Add

• Name: Đặt tên policy bạn muốn
• Source zones: LAN.
• Source networks and devices: chọn Test VM.
• Destination zones: WAN.
• Action: Chọn Decrypt.
• Profile: chọn Maximum compatibility.

Nhấn Save.

Đối với trình duyệt Chrome thường dùng kho chứng chỉ riêng nên nếu muốn scan http/https 1 cách hiệu quả phải add thêm chứng chỉ SSL_CA của Sophos.

Mở trình duyệt, vào Settings (Cài đặt).Tìm kiếm từ khóa “Quản lý chứng chỉ”. Click chọn “Chứng chỉ được nhập từ windows” chọn tab Trust root Certification Authorities > Import.

Click Browse > chọn SSL_CA.pem của Sophos > click Next.

Import thành công. Click OK.

Kiểm tra chứng chỉ SSL_CA đã được add vào trình duyệt.

Truy cập vào trang Sophostest của Sophos, kiểm tra trang web đang sử dụng chứng chỉ SSL_CA.

Click chọn Anti-virus Eicar > Download

Trình duyệt báo lỗi không thể truy cập

Kiểm tra log Malware trên Sophos firewall báo đã block file tải xuống với protocol Https.

Truy cập Sophostest > chọn Intelix Potentially Unwanted Application (PUA) Reputation EXE file > Download.

Trình duyệt báo lỗi truy cập

Kiểm tra log Zero-day Protection đã block file tải xuống.

Bạn có thể truy cập bào tab Zero-day protection > Download and attachments để có các thông tin rõ ràng hơn về các file đã tải xuống.

Click chọn icon 3 chấm > View report về 1 file cụ thể

Vậy, bạn đã hoàn thành cấu hình tính năng Zero-Day Protection trên Sophos Firewall

SD-RED 60 ở chế độ Standard/Unified cho phép kết nối chi nhánh hoặc văn phòng từ xa về Sophos Firewall XGS thông qua một đường hầm bảo mật qua Internet. Toàn bộ mạng phía sau thiết bị RED sẽ được xem như một phần của mạng LAN nội bộ, do firewall trung tâm quản lý hoàn toàn, bao gồm DHCP, gateway và các chính sách bảo mật. Chế độ này giúp quản trị tập trung, kiểm soát truy cập và lọc lưu lượng hiệu quả, rất phù hợp cho mô hình nhiều site hoặc branch office.

Truy cập vào Sophos Firewall. Đến phần System services -> RED. Bật RED status trên Head Office Firewall lên.

Đăng kí Sophos Firewall với RED provisioning Server sau khi bật RED status. Lưu ý: chỉ làm 1 lần suy nhất.

Sau khi đăng kí xong thì sẽ có giao diện như sau.

Vào Network -> Zones. Nhấn Add.

Bật dịch vụ mạng và các dịch vụ khác phục vụ cho việc cấu hình và troubleshoot.

Đến phần Network -> Interfaces. Nhấn Add interface, và chọn Add RED.

• Branch name: Đặt tên
• Type: Dòng thiết bị
• RED ID: S/N thiết bị (nằm dưới thiết bị RED)
• Unlock code: nhập đoạn mã mà firewall sẽ gửi qua email đã nhập ở bước đăng kí RED
• Firewall/Hostname: IP WAN firewall
• 2^nd Firewall/Hostname: IP WAN remote (phía SD-RED)

Cấu hình cho SD-RED và remote LAN nhận DHCP.

Cấu hình mode Standard/unified.

• RED IP: nhập IP cùng subnet với subnet mà Firewall cấp cho remote LAN
• RED netmask: lớp mạng
• Zone: RED_Device
• RED DHCP range: IP range cho remote network (phía sau thiết bị RED)

Kết quả

Tạo Firewall rule cho phép remote LAN(phía sau thiết bị RED) truy cập Internet và try cập vào LAN Office.

Trong PROTECT, chọn Rule and policies -> Add firewall rule -> chọn New firewall rule.

Đặt tên và chọn action.

Chọn Source zone là RED_Device và Destination zone là LAN/WAN để remote LAN có thể truy cập Internet và access vào LAN.

Qua bài viết này, chúng ta đã cùng đi qua toàn bộ quy trình triển khai SD-RED 60 ở chế độ Standard/Unified trên Sophos Firewall XGS, từ mô hình kết nối cho đến các bước cấu hình thực tế. Đây là một giải pháp tối ưu cho doanh nghiệp có nhiều chi nhánh, giúp mở rộng mạng nội bộ một cách an toàn, linh hoạt và dễ quản trị tập trung. Hy vọng bài viết sẽ giúp anh em kỹ sư có thêm góc nhìn thực tế và tự tin hơn khi triển khai RED trong các dự án thực chiến.

Bài viết này hướng dẫn cấu hình IPsec Remote Access VPN trên Sophos Firewall thông qua Sophos Connect Client, giúp người dùng từ xa có thể truy cập an toàn vào hệ thống mạng nội bộ của doanh nghiệp.

Bên cạnh đó, bài viết cũng phân tích sự khác biệt giữa hai mô hình triển khai phổ biến:

• Firewall quay PPPoE trực tiếp (khuyến nghị – đảm bảo IPsec hoạt động ổn định)
• Firewall đặt sau modem NAT (dễ phát sinh lỗi kết nối IPsec)

Qua đó, giúp người đọc hiểu rõ nguyên nhân và lựa chọn mô hình triển khai phù hợp trong thực tế.

Trong thực tế, doanh nghiệp thường có nhu cầu cho phép nhân viên truy cập vào hệ thống nội bộ khi làm việc từ xa (tại nhà, quán cà phê hoặc khi đi công tác). Tuy nhiên, việc mở trực tiếp các dịch vụ nội bộ ra Internet tiềm ẩn nhiều rủi ro về bảo mật.

Vì vậy, giải pháp được đặt ra là triển khai VPN để tạo một kênh kết nối an toàn giữa người dùng bên ngoài và hệ thống mạng nội bộ.

Yêu cầu:

• Triển khai IPsec Remote Access VPN trên Sophos Firewall sử dụng Sophos Connect Client
• Đảm bảo dữ liệu trao đổi được mã hóa, an toàn khi đi qua Internet
• Người dùng sau khi kết nối VPN có thể truy cập vào các tài nguyên nội bộ như:
  • Server nội bộ
  • File chia sẻ (SMB)
  • Remote Desktop (RDP)
• Hạn chế truy cập, chỉ cho phép vào các mạng cần thiết (ví dụ: VLAN quản trị)

1. Tạo user VPN
2. Tạo IPsec Profile
3. Cấu hình IPsec Remote Access
4. Tạo Firewall Rule cho VPN
5. Cài Sophos Connect và export file cấu hình để kết nối

Authentication → Users → Add

Profiles → IPsec profiles → Add

IPsec Profile dùng để định nghĩa các thông số bảo mật và cách thức thiết lập kết nối VPN giữa client và firewall. Để đảm bảo tương thích với Sophos Connect, profile nên cấu hình tương tự profile mặc định DefaultRemoteAccess.

Thông tin chung

• Name: IPsec VPN Remote Access.
• Description: Description.
• Key exchange: IKEv1 – Chuẩn kết nối cũ.
• Authentication mode: Main mode – đảm bảo quá trình xác thực an toàn hơn.
• Key negotiation tries: 0 – cho phép thử kết nối không giới hạn nếu lần đầu thất bại.
• Re-key connection: Enable  – tự động gia hạn kết nối khi sắp hết hạn.
• Use strict profile: Disable – cho phép linh hoạt khi thương lượng thuật toán giữa client và firewall.
• Pass data in compressed format: Disable – không cần thiết trong hầu hết trường hợp
• SHA2 with 96-bit truncation: Disable – giữ nguyên độ bảo mật đầy đủ của SHA2.

Đây là giai đoạn hai bên tạo kênh bảo mật để trao đổi khóa và xác thực lẫn nhau.

• Key life: 18000 seconds (thời gian tồn tại của phiên kết nối ban đầu)
• DH group: (giữ mặc định hệ thống – đảm bảo tương thích)
• Re-key margin: 360 seconds (bắt đầu gia hạn trước khi hết hạn)
• Randomize re-keying margin: 100% (tránh nhiều kết nối gia hạn cùng lúc)

Thuật toán:

• Encryption: AES256, AES256, AES128
• Authentication: SHA2-256, SHA1, SHA1

Việc cấu hình nhiều thuật toán giúp firewall và client có thể “thương lượng” và chọn ra thuật toán phù hợp nhất để kết nối thành công.

Sau khi Phase 1 thành công, Phase 2 sẽ tạo kênh để truyền dữ liệu thực tế.

• PFS group: Same as Phase 1 (tăng cường bảo mật cho mỗi phiên dữ liệu)
• Key life: 3600 seconds (thời gian sử dụng khóa cho việc truyền dữ liệu)

Thuật toán:

• Encryption: AES256, AES256, AES128
• Authentication: SHA2-256, SHA1, SHA1

Dead Peer Detection (DPD)

DPD giúp firewall kiểm tra xem client còn kết nối hay không.

• Dead Peer Detection: Enable.
• Check peer after every: 60 seconds – kiểm tra định kỳ.
• Wait for response up to: 240 seconds  – thời gian chờ phản hồi.
• When peer unreachable: Disconnect – ngắt kết nối nếu không phản hồi.

Nhấn Save để lưu cấu hình

Truy cập:

Remote Access VPN → IPsec

Đây là bước cấu hình để bật tính năng IPsec Remote Access trên firewall và liên kết với profile đã tạo ở bước trước.

General settings:

• IPsec remote access: Enable – Bật tính năng IPsec Remote Access trên firewall
• Interface: Port2 – 115.70.xxx.xxx – Cổng WAN nhận kết nối từ Internet
• IPsec profile: IPsec VPN Remote Access – Sử dụng profile đã tạo ở bước 1

Authentication:

• Authentication type: Preshared key – Xác thực bằng khóa bí mật dùng chung giữa client và firewall
• Preshared key: Client phải nhập đúng key này mới kết nối được

Identification:

• Local ID: Default
• Remote ID: Default

Dùng để định danh 2 đầu VPN, trong lab có thể để mặc định

Allowed users and groups:

• Allowed users and groups: it  – Chỉ user thuộc group it mới được phép kết nối VPN

Client information:

• Name: it – Tên cấu hình VPN (hiển thị khi export file cho client)
• Assign IP from: 11.11.11.1 – 11.11.11.10 -> Dải IP cấp cho user khi kết nối VPN
• DNS server 1 / 2: Có thể thêm DNS nội bộ nếu cần resolve domain nội bộ

Idle timeout:

• Disconnect when tunnel is idle: Tự ngắt VPN nếu không có hoạt động
• Idle session time interval: (120–21600s) – Thời gian chờ trước khi ngắt

Advanced settings:

• Use as default gateway:
  • Nếu bật: toàn bộ traffic client đi qua VPN
  • Nếu tắt: chỉ đi các mạng nội bộ (split tunnel)
• Permitted network resources (IPv4): VLAN_10_MGMT – Chỉ cho phép truy cập vào mạng nội bộ VLAN_10_MGMT
• Send Security Heartbeat through tunnel: Dùng cho Sophos endpoint
• Allow users to save username and password: Enable – Cho phép client lưu thông tin đăng nhập
• Prompt users for 2FA token: Dùng nếu có xác thực 2 lớp
• Run AD logon script after connecting: Tùy chọn
• Hostname or DNS suffix to monitor: Tùy chọn
• Connect tunnel automatically: Dùng để auto connect VPN khi truy cập domain
• DNS suffix: Dùng cho môi trường domain nội bộ

Nhấn Apply để lưu cấu hình và nhấn Export Connection để lấy file đăng nhập.

Truy cập:

Rules and Policies → Firewall Rules → Add

Firewall Rule dùng để cho phép traffic từ VPN đi vào mạng nội bộ và ngược lại. Nếu không có rule này, dù VPN kết nối thành công thì user vẫn không truy cập được tài nguyên bên trong.

Thông tin chung:

• Rule name: IPsec VPN Remote Access
• Action: Accept – cho phép lưu lượng đi qua
• Log firewall traffic: Enable – ghi log để dễ kiểm tra khi cần
• Description: (tùy chọn)
• Rule group: None

Source zones:

• LAN
• VPN

Cho phép traffic từ cả mạng nội bộ và user VPN

Source networks and devices:

• 11 (dải IP VPN: 11.11.11.1 – 11.11.11.10) là IP được cấp cho client VPN
• VLAN_10_MGMT là mạng nội bộ

Destination zones:

• LAN
• VPN

Cho phép truy cập hai chiều

Destination networks:

• 11 – cho phép chiều ngược lại (LAN có thể phản hồi lại VPN client)
• VLAN_10_MGMT  – là mạng nội bộ mà user VPN được phép truy cập

Nhấn Save / Apply để lưu rule

Sau khi hoàn tất cấu hình trên firewall, cần export file cấu hình VPN và cài đặt Sophos Connect trên máy người dùng để thực hiện kết nối.

Khi export cấu hình IPsec VPN từ Sophos Firewall, hệ thống có thể cung cấp hai loại file với mục đích sử dụng khác nhau:

• File .scx: Đây là file cấu hình dành cho người dùng cuối, được sử dụng để import vào Sophos Connect Client nhằm thiết lập kết nối VPN. File này chứa đầy đủ thông tin cần thiết như địa chỉ gateway, cấu hình IPsec và các tham số kết nối.
• File .tgb: Đây là file backup cấu hình, được sử dụng cho mục đích sao lưu và khôi phục trên firewall. File này không dùng cho client và không thể import vào Sophos Connect.

Ngoài ra, bạn có thể truy cập mục Current Activities để theo dõi các phiên VPN đang hoạt động, bao gồm thông tin người dùng đang đăng nhập và loại client đang sử dụng.

Bài viết này hướng dẫn cấu hình SSL VPN Client-to-Site trên Sophos Firewall firmware v22, cho phép người dùng từ xa (remote user) sử dụng máy Windows kết nối an toàn vào mạng nội bộ doanh nghiệp thông qua Internet.

Sau khi hoàn thành, người dùng có thể:

• Truy cập tài nguyên nội bộ (Server, NAS, RDP, Web nội bộ…)
• Mã hóa kết nối đảm bảo an toàn dữ liệu
• Xác thực bằng tài khoản người dùng trên Sophos Firewall

Doanh nghiệp cần:

• Nhân viên truy cập từ xa (WFH)
• Kết nối vào LAN nội bộ
• Đảm bảo bảo mật và kiểm soát truy cập

Yêu cầu:

• Chỉ user hợp lệ mới được VPN
• Truy cập server nội bộ (RDP, File Server)
• Có thể mở rộng MFA sau này

Tổng quan các bước:

1. Tạo User và Group
2. Cấu hình SSL VPN Profile
3. Cấu hình SSL VPN Global Settings
4. Tạo Firewall Rule cho phép truy cập từ VPN vào vùng LAN
5. Tải VPN Client và file cấu hình
6. Cài đặt phần mềm Sophos Connect
7. Import cấu hình VPN vào Sophos Connect
8. Test kết nối SSL VPN

Authentication → Groups → Add

• Group Name: VACIF GROUP
• Surfing quota: Unlimited Internet Access
• Access time: Allowed all the time

Authentication → Users → Add

• Username: VACIF
• Password: ****
• Group: VACIF GROUP

VPN → Remote Access VPN → SSL VPN → Add → Configure manually

Thực hiện cấu hình các thông số sau:

• Name: Đặt tên cho cấu hình SSL VPN (ví dụ: SSLVPN-IT)
• Policy members: Chọn user hoặc group đã tạo trước đó (ví dụ: vpnuser01 hoặc SSLVPN-Users)
• Use as default gateway:
  • Bật khi muốn toàn bộ lưu lượng của VPN Client đi qua Sophos Firewall (Full Tunnel)
  • Không bật khi chỉ định tuyến lưu lượng truy cập vào mạng nội bộ qua VPN (Split Tunnel)
• Permitted network resources (IPv4): Chọn các dải mạng nội bộ (LAN) mà người dùng VPN được phép truy cập (ví dụ: 10.10.10.0/24)
• Disconnect idle clients: Tự động ngắt kết nối VPN khi người dùng không có hoạt động trong một khoảng thời gian nhất định

→ Nhấn Apply để lưu cấu hình

VPN → Remote Access VPN → SSL VPN → Global Settings

• Protocol: Chọn UDP để tối ưu hiệu suất và giảm độ trễ khi kết nối VPN
• SSL server certificate: Giữ nguyên ApplianceCertificate (chứng chỉ mặc định của thiết bị)
• Override hostname: Nhập địa chỉ IP WAN hoặc tên miền mà người dùng VPN sẽ sử dụng để kết nối (ví dụ: 123.20.173.178 hoặc vpn.company.com)
• Port: Giữ mặc định 8443 hoặc thay đổi nếu có yêu cầu riêng (Ở đây mình đặt 10443)
• Assign IPv4 addresses: Khai báo dải IP cấp phát cho VPN Client (ví dụ: 10.121.10.0/24)
• IPv4 DNS: Cấu hình DNS để client có thể phân giải tên miền khi kết nối VPN (ví dụ: 8.8.8.8, 1.1.1.1 hoặc DNS nội bộ)
• Disconnect dead peer after: Thiết lập thời gian (giây) để tự động ngắt kết nối khi client không phản hồi
• Disconnect idle peer after: Thiết lập thời gian ngắt kết nối khi người dùng không có hoạt động Có thể để trống – nên để trống nếu không giới hạn

→ Nhấn Apply để lưu cấu hình

Rules and Policies → Firewall Rules

Thực hiện cấu hình các thông số sau:

→ Nhấn Save để lưu cấu hình

Để biết được port VPN là bao nhiêu thì bạn cần phải vào:

Administrator → Admin and user settings

• Tiếp theo, truy cập VPN Portal bằng trình duyệt: https://<WAN-IP hoặc tên miền>:8443
• Đăng nhập bằng tài khoản VPN mà bạn đã tạo trước đó.

Tại giao diện Portal:

• Nhấn Download for Windows trong mục Sophos Connect client để tải phần mềm
• Nhấn Download for Windows, macOS, Linux trong mục VPN configuration để tải file cấu hình SSL VPN (.ovpn)

• Chạy file cài đặt: SophosConnect_<version>.exe
• Tại màn hình cài đặt: Tick chọn “I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy”

• Mở phần mềm Sophos Connect
• Tại giao diện chính: Nhấn Import connection
• Chọn file cấu hình đã tải: sslvpn-vacif-client-config.ovpn
• Sau khi import thành công: Kết nối VPN sẽ hiển thị trong danh sách

Lúc này bạn có thể truy cập vào trong lớp mạng LAN nội bộ đã cấu hình. Ngoài ra bạn có thể vào mục Current activities để kiểm tra xem user nào đang đăng nhập SSL VPN.

Trong thời đại các cuộc tấn công mạng ngày càng tinh vi, chỉ một lỗ hổng nhỏ cũng có thể khiến doanh nghiệp trả giá đắt. Vậy làm sao để bảo vệ toàn diện hệ thống, dữ liệu và người dùng trong môi trường làm việc linh hoạt ngày nay?

Tham gia ngay webinar để khám phá giải pháp từ Sophos – Sophos Endpoint Plus Protection, nền tảng bảo mật mạnh mẽ giúp doanh nghiệp luôn đi trước các mối đe dọa.

Sự kiện do VaciF (Host) phối hợp cùng INNET – Đơn vị phân phối giải pháp CNTT đồng tổ chức. Cùng với sự trình bày của Mr. Khôi Nguyễn (Sophos Senior Sales Engineer) và phần Demo của Mr. Đạt Trịnh (VaciF Technical Engineer).

Thời gian: 9h30 AM – Thứ Năm, ngày 23/04/2026
Hình thức: Trực tuyến qua Zoom | Miễn phí 100%

Đăng ký tham dự tại đây: https://zoom.us/webinar/register/WN_NFq9ytt5SgaFs3WUeIMVyw

Nếu bạn đã quen với việc triển khai Sophos Firewall trên các nền tảng ảo hóa như VMware Workstation hoặc ESXi, thì Proxmox VE là một lựa chọn đáng để thử khi xây dựng hệ thống lab hoặc hạ tầng ảo hóa chi phí thấp.

Proxmox VE là nền tảng ảo hóa mã nguồn mở hỗ trợ hai công nghệ chính:

• KVM (Kernel-based Virtual Machine) để chạy máy ảo
• LXC (Linux Containers) để chạy container

Với các ưu điểm như:

• Miễn phí và mã nguồn mở
• Cộng đồng sử dụng lớn
• Quản lý VM thông qua Web GUI
• Hỗ trợ snapshot, backup và clustering

Proxmox ngày càng được nhiều doanh nghiệp vừa và nhỏ lựa chọn. Trong bài viết này, chúng ta sẽ thực hiện:

• Triển khai Sophos Firewall Virtual trên Proxmox VE
• Sử dụng file KVM image của Sophos
• Tạo máy ảo bằng lệnh CLI trên Proxmox
• Import disk image vào VM
• Khởi động Sophos Firewall và thực hiện cấu hình ban đầu

Sau khi hoàn thành bài lab, Sophos Firewall sẽ hoạt động như một tường lửa ảo trong hệ thống Proxmox.

Trong mô hình này:

• Proxmox VE đóng vai trò là hypervisor để chạy máy ảo.
• Sophos Firewall được cài đặt dưới dạng Virtual Machine.
• Máy Windows Client dùng để:
  • Truy cập giao diện quản trị firewall
  • Kiểm tra trạng thái hoạt động của hệ thống.

Quản trị viên truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web với địa chỉ: https://10.10.10.200:4444

Trong bài lab này, chúng ta thực hiện triển khai Sophos Firewall dưới dạng máy ảo trên Proxmox VE với mục đích xây dựng môi trường thử nghiệm.

Các yêu cầu của hệ thống như sau:

• Cài đặt Sophos Firewall Virtual trên Proxmox.
• Cấu hình địa chỉ IP cho firewall là 10.10.10.200/24.
• Máy Windows Client có địa chỉ 10.10.10.116/24.
• Máy Windows có thể truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web.

Sau khi hoàn thành cấu hình:

• Quản trị viên có thể đăng nhập vào giao diện Web Admin
• Thực hiện các cấu hình bảo mật, firewall rule và quản lý hệ thống.

Quá trình triển khai Sophos Firewall Virtual trên Proxmox gồm các bước chính sau:

1. Tải file “Sophos Firewall KVM Image”
2. Upload file image lên server Proxmox
3. Tạo máy ảo Sophos Firewall bằng CLI
4. Import disk image vào máy ảo
5. Cấu hình boot disk
6. Khởi động Sophos Firewall
7. Truy cập giao diện Web Admin

Trước khi bắt tay vào dựng Sophos Firewall trên Proxmox, bạn cần chuẩn bị:

• Máy chủ/PC đã cài Proxmox VE (khuyến nghị bản 7.x hoặc mới hơn).
• File KVM Sophos Firewall (SFOS): tải từ trang chủ Sophos (bản Home hoặc Trial).
• Tài nguyên tối thiểu cho VM: CPU: 2, coreRAM: 4 GB

Trước tiên, chúng ta cần chuẩn bị file KVM cài đặt Sophos Firewall. Truy cập trang chính thức của Sophos tại: https://www.sophos.com/en-us/support/downloads/firewall-installers. Tại đây, chọn và tải về phiên bản dành cho KVM (tương thích với Proxmox).

Sau khi tải và giải nén ta được 2 file như sau:

Tạo máy ảo Sophos Firewall trên Proxmox -> Đăng nhập vào Proxmox Web UI -> chọn Create VM để bắt đầu tạo máy ảo mới -> Nhập VM ID và Tên máy ảo (Name).

Tick chọn Do not use any media ->Type: linux ->Version: 6.x – 2.6 Kernel

Sockets: 2

Cores: 2

Type: host

Memory(MB): 4096 và click next

Chọn card mạng bridge và clicknext -> chắc chắn ràng không có gì sai xót sau khi tạo xong, nhấn finish.

Sử dụng công cụ WinSCP để tiến hành copy file KVM Sophos đã tải về vào thư mục của VM theo đường dẫn: /mnt/pve/disk-pve1/images/2027/

Trong đó:

• disk-pve1 là tên storage trên Proxmox.
• 2027 là VM ID mà bạn đã tạo ở bước trước.

** Lưu ý: Thư mục có dạng/mnt/pve/<storage-name>/images/<VMID>/. Bạn cần thay đúng <storage-name> và <VMID> theo môi trường của mình.

Mở Shell trong giao diện Proxmox.

Truy cập thư mục lưu trữ:

• cd /mnt/pve
• ls

→ Lệnh ls sẽ liệt kê tất cả các storage có trong Proxmox.

Di chuyển vào storage bạn đã dùng để lưu file KVM, ví dụ:

• cd /mnt/pve/disk1-pve1/images/
• Ls

Tại đây sẽ hiển thị danh sách các thư mục tương ứng với VM ID. Trong ví dụ này, máy Sophos Firewall được gán VM ID = 1027:

• cd 1027
• ls

→ Bạn sẽ thấy toàn bộ các file (bao gồm ISO và disk image) của VM Sophos Firewall.

Mở file cấu hình của VM bằng trình soạn thảo nano:

•  nano /etc/pve/qemu-server/1027.conf

Thêm hoặc chỉnh sửa 2 dòng sau để khai báo ổ đĩa cho Sophos Firewall:

• scsi0: disk1-pve1:1027/PRIMARY-DISK.qcow2,size=32G
• scsi1: disk1-pve1:1027/AUXILIARY-DISK.qcow2,size=80G

→ scsi0: Ổ cứng chính (32GB).

→ scsi1: Ổ phụ (80GB).

Lưu file cấu hình:

• Nhấn Ctrl + O → Enter để lưu.
• Nhấn Ctrl + X để thoát khỏi nano.

Tick chọn như hình bên dưới

Sau khi hoàn tất, nhấn Start để khởi động node Sophos Firewall.

Truy cập Console của VM để theo dõi quá trình boot. Nếu thấy giao diện cài đặt của Sophos xuất hiện và hệ thống chạy ổn định, nghĩa là bạn đã triển khai thành công.

Như vậy, chúng ta đã chạy Sophos Firewall ảo trong Proxmox thành công. Từ đây, bạn có thể tiếp tục:

• Truy cập WebAdmin
• Thực hiện các bước cấu hình cơ bản (IP LAN/WAN, NAT, Firewall Rule).
• Mở rộng lab với VPN, IPS, WAF, hoặc thử nghiệm các tính năng bảo mật khác.

Bài viết này hướng dẫn cấu hình IPsec Site-to-Site VPN giữa hai thiết bị Sophos Firewall XGS sử dụng firmware v22, nhằm xây dựng kết nối bảo mật giữa hai hệ thống mạng đặt tại hai địa điểm khác nhau.

Mục tiêu của bài lab:

• Thiết lập thành công đường hầm IPsec giữa hai firewall.
• Cho phép hai mạng LAN tại hai site truy cập và trao đổi dữ liệu với nhau.
• Đảm bảo toàn bộ lưu lượng truyền qua Internet được mã hóa an toàn.
• Kiểm tra và xác minh trạng thái hoạt động của VPN Tunnel.
• Hiểu rõ cơ chế hoạt động của Phase 1 (IKE SA) và Phase 2 (IPsec SA) trong quá trình thiết lập VPN.

Môi trường triển khai:

• 02 Sophos Firewall XGS (Virtual Appliance).
• Cài đặt trên nền tảng ảo hóa Proxmox VE.
• Hai đầu sử dụng IP WAN tĩnh, được cấp từ firewall/router thật để mô phỏng môi trường thực tế.

Doanh nghiệp có hai site sử dụng hai thiết bị Sophos Firewall XGS kết nối ra Internet qua router Viettel với IP WAN lần lượt là 123.123.123.11 và 123.123.123.15. Mỗi site có một mạng LAN riêng là 100.100.100.0/24 và 200.200.200.0/24. Hiện tại hai mạng này không thể truy cập lẫn nhau qua Internet. Yêu cầu đặt ra là cho phép hai mạng LAN giao tiếp an toàn và ổn định. Giải pháp là triển khai VPN Site-to-Site IPsec để mã hóa và kết nối hai hệ thống qua Internet.

• Chuẩn bị thông tin cấu hình
• Tạo các Network Object (Host/Subnet)
• Cấu hình IPsec Site-to-Site VPN
• Tạo Firewall Rule cho phép lưu lượng LAN VPN
• Kiểm tra trạng thái hoạt động của VPN

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Vào mục Site to site > IPsec > Add

• IP Version: IPv4 -> Tunnel sử dụng địa chỉ IPv4 để thiết lập IKE và truyền dữ liệu ESP.
• Connection Type: Policy-based -> Chỉ những subnet khai báo ở Local subnet và Remote subnet mới được phép đi qua tunnel.
• Gateway Type: Respond only -> Firewall này không chủ động kết nối, chỉ phản hồi khi bên kia gọi.
• Profile: IKEv2 → Chuẩn VPN mới, ổn định và bảo mật hơn IKEv1.
• Authentication: Preshared Key (PSK) → Hai firewall dùng chung một mật khẩu bí mật

• Listening interface: 123.123.123.11 -> Đây là IP WAN của firewall này, firewall sẽ chờ kết nối VPN tại IP này.
• Gateway address: 123.123.123.15 -> Đây là IP WAN của firewall bên kia, VPN sẽ kết nối đến IP này.
• Local Subnet: LOCAL_VLAN_100 -> Mạng nội bộ phía mình được phép đi qua VPN.
• Remote Subnet: VPN_VLAN_200 -> Mạng nội bộ phía bên kia.

• Rule name: VPN_SF_TO_SF1
• Action: Accept -> Cho phép lưu lượng đi qua
• Log firewall traffic: Tick chọn -> Ghi log để kiểm tra khi cần

• Source zones: LAN, VPN -> Nghĩa là lưu lượng có thể xuất phát từ mạng nội bộ, hoặc từ phía VPN bên kia
• Source networks: LOCAL_VLAN_100, VPN_VLAN_200 ->chỉ những mạng này mới được phép sử dụng rule
• Destination zones: LAN, VPN -> Cho phép truy cập hai chiều giữa LAN và VPN
• Destination networks: LOCAL_VLAN_100, VPN_VLAN_200
• Services: Any -> Cho phép tất cả dịch vụ (ping, RDP, SMB, HTTP…)

 Vào mục Site to site VPN -> IPsec -> Tick chọn Active và Connection để bật cấu hình.

Vào Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Đến phần Site-to-Site VPN > IPsec và chọn Add. Tạo kết nối với thông số bên dưới.

Đến phần Rules and Policies -> Firewall rules chọn Add như hình bên dưới.

• Vào mục Site to site -> IPsec -> Tick chọn Active và Connection để bắt đầu kết nối.
• Từ máy tính đang ở trong LAN 100.100.100.0/24 ping đến máy tính trong LAN 200.200.200.0/24 -> ping thành công.
• Ngược lại, từ máy tính đang ở trong LAN 200.200.200.0/24 ping đến máy tính trong LAN 100.100.100.0/24 –> ping thành công.

Bài viết này nhằm:

• Hướng dẫn cách theo dõi và lọc log Sophos Firewall trên Sophos Central.
• Hướng dẫn xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Sophos Central giúp quản trị viên theo dõi và quản lý toàn bộ Sophos Firewall ttrên một giao diện web duy nhất, không cần đăng nhập từng thiết bị. Để giám sát, theo dõi, xuất Report tổng quan các thiệt bị Firewall, làm như sau:

Trên Sophos Central, chọn My Products -> Firewall Management -> Report Generator

Report Generator là công cụ để quản trị viên giám sát, theo dõi và tạo báo cáo (report) tùy chỉnh cho Sophos Firewall.

• Firewalls: chọn Firewall cần xuất report.
• Report Template: Chọn Template có sẵn phù hợp với nhu cầu xem, chi tiết:
  • Antivirus: Các mã độc hoặc đối tượng nghi ngờ đã bị chặn.
  • Bandwidth usage: Mức sử dụng băng thông theo từng ứng dụng.
  • Cloud app risks and usage: Các ứng dụng Cloud được sử dụng và rủi ro liên quan.
  • Firewall: Số lượng kết nối giữa các địa chỉ IP cụ thể.
  • IPS: Các cuộc tấn công bị phát hiện/chặn bởi hệ thống IPS.
  • Log viewer and search: Log chi tiết của firewall (chỉ có biểu đồ dạng bảng).
  • SD-WAN: Tóm tắt mức độ đáp ứng SLA theo từng profile SD-WAN, kèm biểu đồ xu hướng.
  • SD-WAN SLA trend: Xu hướng SLA theo gateway (jitter, latency, packet loss).
  • SD-WAN Bandwidth usage: Thống kê băng thông theo gateway và theo thời gian.
  • Security posture assessment (SPA): Đánh giá tổng thể mức độ an toàn của hệ thống. (Có thể chọn tối đa 10 thành phần như: Bandwidth, Web usage, Threat geo activity…) (Recommend sử dụng)
  • Synchronized app: Thống kê ứng dụng được nhận diện bởi Synchronized App Control.
  • Threat geo activity: Các mối đe dọa bị chặn theo quốc gia.
  • Threats and events blocked: Toàn bộ các mối đe dọa/sự kiện đã bị chặn.
  • VPN usage: Mức độ sử dụng các kết nối VPN.
  • Web usage: Thống kê truy cập website.
  • Web user risk: Hoạt động web của người dùng truy cập website rủi ro cao.
  • X-Ops: Hoạt động tấn công nâng cao (Advanced Threat activities) do firewall phát hiện/chặn. Bao gồm traffic trong MDR.
  • Zero-day protection: File/email nghi ngờ được gửi đến module phân tích Sandstorm

• Time Frame: Chọn mốc thời gian phù hợp với nhu cầu xem
• Query: Tùy chọn query phù hợp với nhu cầu lọc.

Sau đó, nhấn Schedule để lên lịch gửi report:

• Template Name: Đặt tên của mẫu báo cáo.
• Export scheduling: Bật/Tắt việc xuất report tự động theo lịch.
• Time frame: Chọn khoảng thời gian dữ liệu trong mỗi report
• Export frequency: Chọn chu kỳ xuất báo cáo
• Export format: Chọn định xạng file xuất (PDF, CSV, HTML)
• Export notification / delivery: Chọn cách gửi email
• Send this export to other Sophos admins?: Chọn chia sẻ report cho các admin khác

Sau khi hoàn tất, Nhấn Save.

Thông báo hiển thị đã tạo Template và Schedule thành công

Đúng Schedule, Sophos sẽ tự động xuất file Export dựa trên cấu hình đã setup