สิ่งที่ต้องเตรียม
1.ทำการขอ Sophos Application Package จากทาง Sangfor Support
เมื่อได้ Application Package มาเรียบร้อยให้ทำการ Import ลงบน Cyber Command ที่เมนู System > Response Apps > Import App เมื่อ Import เรียบร้อยจะได้ Package ของตัว Sophos ตามภาพด้านล่าง
1.Login เข้าไปที่ cloud.sophos.com
2.เลือกที่ Global Settings > API Credential Management
3.เมื่อ Add Credential เรียบร้อนจะได้ข้อมูลในส่วนของ Client ID และ Client Secret (Client Secret จะสามารถแสดงได้เพียงครั้งเดียว)
4.นำข้อมูลจากข้อ 3. มากรอกในส่วนของ client-id และ client-secret
Url : id.sophos.com
5.ขั้นตอนการหา dataRegion (Optional) โดยทำการรัน Command ผ่าน CMD หรือ Terminal ได้เลย
curl -XPOST -H "Content-Type:application/x-www-form-urlencoded" \
-d "grant_type=client_credentials&client_id=<client-id>&client_secret=<client-secret>&scope=token" \
https://id.sophos.com/api/v2/oauth2/token
6.เมื่อรันสำเร็จจะได้ผลลัพธ์
{
"access_token": "<jwt>",
"errorCode": "success",
"expires_in": 3600,
"message": "OK",
"refresh_token": "<token>",
"token_type": "bearer",
"trackingId": "<uuid>"
}
7.ให้นำค่าที่ได้จาก access_token มาแทนที่ <jwt> ใน Command ด้านล่างแล้วทำการรันอีกครั้ง (ไม่ต้อง Copy ")
curl -XGET -H "Authorization: Bearer <jwt>" \
-H "X-Tenant-ID: <tenant-id>" \
<data-region>/endpoint/v1/endpoints
8.จะได้ผลลัพธ์ออกมาเป็น
{
"id": "57ca9a6b-885f-4e36-95ec-290548c26059",
"idType": "tenant",
"apiHosts": {
"global": "https://api.central.sophos.com",
"dataRegion": "https://api-us03.central.sophos.com"
}
}
9.เมื่อทำการ Correlate เรียบร้อยแล้วให้มาสร้าง Auto Response Policy ที่ Cyber Command โดยไปที่เมนู Response > Auto Response > New
10.ตั้งค่า Policy
Policy Type : เลือกประเภทของ Policy ที่เราต้องการ
Execution Method : ให้เลือกว่าจะให้ทำงาน Automatic หรือ Manual เมื่อเจอ Incident/Alert เกิดขึ้น
Trigger Type : เลือกว่าให้ทำงานกับ Security Incident หรือ Security Alert
Conditions for Execution : สามารถเลือกได้ว่าจะให้ทำงานกับ Incident/Alert ประเภทไหนหรือสามารถเลือกเป็น All รวมถึงสามารถเพิ่ม Condition อื่นๆได้เช่น Asset Type, Group, Time Detected, IP และ Rule ID
11.ทำการกำหนด
Endpoint IP : ในตัวอย่างจะเลือกเป็น Asset IP
Action Type : ในส่วนนี้ของ Sophos Endpoint ในปัจจุบันจะมีให้เลือกระหว่าง Isolated กับ Unisolated
Device IP : ให้เลือก Resource name ที่เราทำการ Add เพิ่มในขั้นตอนที่ 4
12.เมื่อเราตั้งค่า Auto Response เสร็จสิ้นให้ทำการ Save และ Enable
13.Policy ที่เราทำนั้นจะปรากฏในหน้า Auto Response > Policies
14.เมื่อมีเครื่องที่มี Security Incident เกิดขึ้นและทำการ Correlated Response จะพบ Policy "Test - Sophos" ที่เราสร้างไว้ ให้กดเลือกที่ Policy นั้นและ Execute
15.สามารถดู Auto Response Log เพื่อเช็คว่า Cyber Command สั่ง Execute ไปเรียบร้อยแล้วหรือยัง
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น