TÀI LIỆU TRUY VẤN CÁC ỨNG DỤNG ĐÃ CÀI ĐẶT TRÊN ENDPOINT QUA SOPHOS XDR (DATA LAKE)

  1. Mục đích

Tài liệu này giúp quản trị viên truy vấn các phần mềm/ứng dụng đã được cài đặt trên các endpoint trong tổ chức thông qua Sophos Data Lake. Việc truy vấn được thực hiện tại trung tâm dữ liệu tập trung của Sophos, cho phép truy xuất thông tin từ nhiều endpoint một cách đồng bộ mà không cần kết nối trực tiếp.

  1. Cách hoạt động

Truy vấn sẽ thực hiện trên nguồn dữ liệu xdr_data, nơi chứa thông tin được đồng bộ từ các thiết bị đã bật tính năng upload Data Lake. Câu lệnh SQL hỗ trợ tìm kiếm ứng dụng theo tên, phiên bản, nhà cung cấp hoặc hostname.

  1. Hướng dẫn tạo truy vấn
  1. 1. Bật Uploads dữ liệu lên Data Lake

1. Vào “Global Settings” trong Sophos Central
2. Chọn Data Lake uploads


3. Đảm bảo các mục sau được bật:
   – Endpoint Protection
   – Server Protection (nếu áp dụng)

4. Nhấn Save để lưu lại cấu hình

Sau khi bật, thiết bị sẽ tự động đồng bộ dữ liệu (bao gồm danh sách phần mềm, log web…) lên Sophos Data Lake theo định kỳ.

  1. 2. Bật Web Journaling

1.Vào mục ‘Global Settings’.

2. Chọn ‘Event Journal’.

3. Đảm bảo các mục sau được bật:
   – Endpoint Protection
   – Server Protection (nếu áp dụng)

4. Nhấn Save để áp dụng thay đổi.

  1. 3. Tạo biến truy vấn

1. Truy cập vào “Threat Analysic Center” → “Live Discover”.

2. Bật trạng thái “Designer Mode” → “Create new query”.

3. Thêm các biến để truy vấn

– Category: Chọn All queries

– Source: Chọn Data Lake

Khi tạo query, cần tạo 4 biến (Variables) như sau:
– Application Name (kiểu: STRING)
– Application Version (kiểu: STRING)
– Publisher Name (kiểu: STRING)
– Host Name (kiểu: STRING)

4. Coppy đoạn script sau vào mục SQL

SELECT
    meta_hostname AS ep_name,
    name,
    version,
    language,
    install_source,
    publisher,
    identifying_number,
    install_date
FROM xdr_data
WHERE query_name = 'windows_programs'
  AND name > ''
  AND ('$$Application Name$$' = '' OR LOWER(name) LIKE LOWER('%$$Application Name$$%'))
  AND ('$$Application Version$$' = '' OR LOWER(version) LIKE LOWER('%$$Application Version$$%'))
  AND ('$$Publisher Name$$' = '' OR LOWER(publisher) LIKE LOWER('%$$Publisher Name$$%'))
  AND ('$$Host Name$$' = '' OR LOWER(meta_hostname) LIKE LOWER('%$$Host Name$$%'))

Nhấn save để lưu.

  1. Hướng dẫn chạy truy vấn

Truy cập vào “Threat Analysic Center” → “Live Discover”.

Chọn mục  “Search” → “Nhập tên truy vấn đã tạo”.

Điền thông tin vào biến để truy vấn ( để % nếu muốn truy vấn tất cả)

Vì sử dụng Data Lake nên không cần thiết bị đang online tại thời điểm chạy

Nhấn ‘Run Query’

Bảng truy vấn sẽ xuất hiện sau khi ấn Run Query

Có thể Export ra file Excel.