Live Discover
Mit Live Discover können Sie die von Sophos Central verwalteten Geräte überprüfen, nach Anzeichen einer Bedrohung suchen oder die Compliance bewerten.
Einleitung
Sie können Geräte nach Anzeichen von Bedrohungen, die nicht von anderen Sophos-Funktionen erkannt wurden durchsuchen. Solche Anzeichen können ungewöhnliche Änderungen an der Registrierung, fehlgeschlagene Authentifizierungen oder wenn ein Prozess läuft, der nur sehr selten ausgeführt wird, sein. Sie können auch die Compliance jedes Gerätes überprüfen. Sie können beispielsweise überprüfen, ob Software veraltet ist oder ob Browser sichere Einstellungen verwenden.
Sie können Geräte zudem nach Anzeichen einer vermuteten oder bekannten Bedrohung durchsuchen. Zum Beispiel wenn Sophos Central Sie gewarnt oder ein Benutzer verdächtiges Verhalten auf seinem Gerät gemeldet hat.
Wir stellen Ihnen eine Reihe von Abfragen zur Verfügung, mit denen Sie Ihre Geräte überprüfen können. Sie können sie so verwenden, wie sie sind, oder sie bearbeiten, um ihr Verhalten zu ändern. Sie können auch Abfragen erstellen.
Live Discover zeigt die Ergebnisse für jede Abfrage an, die Sie ausführen. Außerdem werden Telemetrie-Daten angezeigt, die zeigen, wie erfolgreich die Ergebnisse abgerufen wurden. Sie können die Ergebnisse und Telemetrie-Daten exportieren.
Wählen Sie zunächst die abzufragenden Geräte aus.
Geräte für die Abfrage auswählen
Sie müssen die Computer und Server auswählen, die von Live Discover abgefragt werden sollen. Verfahren Sie zur Auswahl von Geräten wie folgt:
Abfrage auswählen
Gehen Sie wie folgt vor, um eine vorbereitete Abfrage auszuwählen:
Die Abfrage wird angezeigt, einschließlich der unterstützten Betriebssysteme, Leistungsdaten und des Osquery-Codes für die Abfrage.
Abfrage bearbeiten oder erstellen
Wenn Sie wollen, können Sie die ausgewählte Abfrage bearbeiten, um ihr Verhalten zu ändern oder sie können eine neue erstellen.
Die Abfrage wird in Osquery geschrieben, das grundlegende SQL-Befehle (Structured Query Language) verwendet. Sie müssen mit Osquery oder SQL vertraut sein, um die Abfrage bearbeiten zu können.
Gehen Sie wie folgt vor, um eine Abfrage zu bearbeiten oder zu erstellen:
Abfrage ausführen
Gehen Sie wie folgt vor, um eine Abfrage auszuführen:
Wenn die Abfrage nicht mehr ausgeführt wird, stehen die vollständigen Abfrageergebnisse und Telemetrie-Daten zur Verfügung. Sie können auf einen Gerätenamen in einer der Listen klicken, um die Detailseite des Gerätes anzuzeigen.
Sie können die ausgewählten Geräte ändern oder die Abfrage bearbeiten, während sie ausgeführt wird.
Telemetrie
Unter Geräte-Telemetrie können Sie sehen, wie erfolgreich die Live Discover-Abfrage beim Sammeln von Informationen bei jedem Gerät war.
Klicken Sie auf Fortschritt, um auszuwählen, welche Telemetrie-Statustypen angezeigt werden sollen. Der Status gibt an, ob die Abfrage abgeschlossen ist und ob das Gerät Daten zurückgesendet hat.
Sie können auch Informationen über die Leistung der Abfrage und die Menge der generierten Daten anzeigen.
Einstellung |
Beschreibung |
---|---|
Leistung |
Zeigt an, welche Auswirkungen die Abfrage auf die Leistung des Gerätes hatte. Beispielsweise hat eine Abfrage, die schnell ausgeführt wird und wenig Daten generiert, wenig Auswirkungen und wird mit Hervorragend bewertet. |
Daten XFR |
Die Datenmenge, die von der Abfrage generiert wurde. |
Um den Inhalt der Liste in eine CSV-Datei zu exportieren, klicken Sie auf Exportieren.