Demo: Encontre sessões abertas RDP usando Sophos Live Discover

Posted by: INN Tecnologia Comentários: 0

O protocolo RDP (Remote Desktop Protocol) embora seja uma ferramenta bastante útil, é uma das principais portas entrada para invasores que procuram invadir uma organização. Uma pesquisa recente da Sophos descobriu que em 9% dos ataques de ransomware o RDP é o método usado para obter acesso.

Felizmente, o Intercept X Advanced com EDR facilita a identificação de dispositivos que têm conexões RDP abertas e desligá-los remotamente, tudo a partir de um único console de gerenciamento.


O Sophos EDR inclui o Live Discover, que conta com uma coleção de consultas SQL pré-escritas e totalmente personalizáveis ​​para responder às operações de TI e às perguntas de desbertas a ameaças. Para começar, selecionamos quais dispositivos queremos verificar.

Há uma variedade de categorias diferentes para escolher, dependendo de suas necessidades. Temos algumas opções para RDP. Identificação de dispositivos com processos em execução que possuem conexões RDP ativas ou localização de dispositivos com RDP habilitado.


Neste caso, queremos fazer o último, então vamos criar uma consulta curta para a tarefa. Uma rápida pesquisa no fórum de compartilhamento de consultas do Live Discover nos dá exatamente o que precisamos. Alguns cliques depois e temos nossa consulta pronta para ser executada (também tínhamos a opção de selecionar uma consulta pré-escrita para identificar dispositivos com conexões RDP ativas).


A consulta identifica um dispositivo com RDP habilitado. No mesmo console, iniciamos uma sessão de terminal remoto do Live Response para o dispositivo e usamos a interface da linha de comando para desabilitar o RDP.


É muito fácil detectar o RDP e desativá-lo em todo o seu endpoint e propriedades do servidor.

Fale com nossos especialistas para saber mais ou para experimenta-lo, você pode solicitar inclusive um teste gratuito por 30 dias.

Telefone: (62) 3932-1212

E-Mail: contato@inntecnologia.com