Live Discover

Mit Live Discover können Sie die von Sophos Central verwalteten Geräte überprüfen, nach Anzeichen einer Bedrohung suchen oder die Compliance bewerten.

Einleitung

Einschränkung Sie müssen dem Early-Access-Programm beitreten, um diese Funktion verwenden zu können.

Sie können Geräte nach Anzeichen von Bedrohungen, die nicht von anderen Sophos-Funktionen erkannt wurden durchsuchen. Solche Anzeichen können ungewöhnliche Änderungen an der Registrierung, fehlgeschlagene Authentifizierungen oder wenn ein Prozess läuft, der nur sehr selten ausgeführt wird, sein. Sie können auch die Compliance jedes Gerätes überprüfen. Sie können beispielsweise überprüfen, ob Software veraltet ist oder ob Browser sichere Einstellungen verwenden.

Sie können Geräte zudem nach Anzeichen einer vermuteten oder bekannten Bedrohung durchsuchen. Zum Beispiel wenn Sophos Central Sie gewarnt oder ein Benutzer verdächtiges Verhalten auf seinem Gerät gemeldet hat.

Wir stellen Ihnen eine Reihe von Abfragen zur Verfügung, mit denen Sie Ihre Geräte überprüfen können. Sie können sie so verwenden, wie sie sind, oder sie bearbeiten, um ihr Verhalten zu ändern. Sie können auch Abfragen erstellen.

Live Discover zeigt die Ergebnisse für jede Abfrage an, die Sie ausführen. Außerdem werden Telemetrie-Daten angezeigt, die zeigen, wie erfolgreich die Ergebnisse abgerufen wurden. Sie können die Ergebnisse und Telemetrie-Daten exportieren.

Wählen Sie zunächst die abzufragenden Geräte aus.

Geräte für die Abfrage auswählen

Sie müssen die Computer und Server auswählen, die von Live Discover abgefragt werden sollen. Verfahren Sie zur Auswahl von Geräten wie folgt:

  1. Klicken Sie in Live Discover auf den Pfeil, um Geräte-Kennzeichner zu erweitern.

    Verfügbare Geräte zeigt alle Computer und Server an, die von Sophos Central verwaltet werden.

    Ausgewählte Geräte zeigt die Untergruppe der verfügbaren Geräte an, die Sie für die Abfrage ausgewählt haben.

  2. Filtern Sie unter Verfügbare Geräte die angezeigten Geräte. Klicken Sie auf Anwenden.

    Sie müssen keine exakte Übereinstimmung eingeben und bei den Filtern wird nicht zwischen Groß- und Kleinschreibung unterschieden.

  3. Wählen Sie die Geräte aus, die Sie abfragen möchten, und klicken Sie auf Liste der ausgewählten Geräte aktualisieren.
  4. Wenn Sie die Liste weiter verfeinern möchten, können Sie die ausgewählten Geräte filtern oder die Auswahl der Geräte aufheben. Klicken Sie hierzu auf Ausgewählte Geräte und verfahren Sie wie folgt:
    • Klicken Sie auf Filter anzeigen. Filtern Sie die ausgewählten Geräte.
    • Heben Sie die Auswahl von Geräten auf und klicken Sie auf Liste der ausgewählten Geräte aktualisieren.

Abfrage auswählen

Gehen Sie wie folgt vor, um eine vorbereitete Abfrage auszuwählen:

  1. Klicken Sie in Live Discover auf den Pfeil, um Anfrage zu erweitern.
  2. Klicken Sie auf die Kategorie, die Sie verwenden möchten.
    Die Liste der Abfragen in dieser Kategorie wird angezeigt. Leistung gibt den durchschnittlichen Einfluss der Abfrage auf die Leistung jedes Gerätes an. Der Wert basiert auf der letzten Verwendung der Abfrage. Beispielsweise hat eine Abfrage, die schnell ausgeführt wird und wenig Daten generiert, wenig Auswirkungen und wird mit Hervorragend bewertet.
  3. Filtern oder durchsuchen Sie die Abfragen, wenn Sie die Liste kürzen möchten.
  4. Klicken Sie auf die Abfrage, die Sie ausführen möchten.

Die Abfrage wird angezeigt, einschließlich der unterstützten Betriebssysteme, Leistungsdaten und des Osquery-Codes für die Abfrage.

Abfrage bearbeiten oder erstellen

Wenn Sie wollen, können Sie die ausgewählte Abfrage bearbeiten, um ihr Verhalten zu ändern oder sie können eine neue erstellen.

Die Abfrage wird in Osquery geschrieben, das grundlegende SQL-Befehle (Structured Query Language) verwendet. Sie müssen mit Osquery oder SQL vertraut sein, um die Abfrage bearbeiten zu können.

Gehen Sie wie folgt vor, um eine Abfrage zu bearbeiten oder zu erstellen:

  1. Erweitern Sie in Live Discover Anfrage.
    1. Um eine Abfrage zu bearbeiten, stellen Sie sicher, dass Sie sie ausgewählt haben. Klicken Sie dann auf Bearbeiten.
    2. Sehen Sie sich zum Erstellen einer Abfrage die Liste der Abfragekategorien an. Klicken Sie dann auf Neue Abfrage erstellen.
  2. Geben Sie einen Namen für die Abfrage ein.
  3. Geben Sie eine Kategorie für die Abfrage, eine Beschreibung und die Betriebssysteme an, auf denen sie ausgeführt werden kann.
  4. Geben Sie in das Feld SQL die Änderungen ein, die Sie an der vorhandenen Abfrage vornehmen möchten, oder geben Sie die neue Abfrage ein.

    Eine Abfrage muss mindestens 15 Zeichen enthalten, damit sie auf den ausgewählten Geräten ausgeführt werden kann.

    Für Informationen zu den verfügbaren Tabellen und Daten, siehe OSQuery-Referenz (englisch).

  5. Sie können der Abfrage eine Variable hinzufügen und ihr einen Wert zuweisen. Sie können den Wert dann beispielsweise in einer bedingten Anweisungen verwenden. Verfahren Sie wie folgt:
    1. Erweitern Sie den Variableneditor.
    2. Klicken Sie auf + Variable hinzufügen.
    3. Geben Sie einen Namen für die Variable ein.

      Sie können im Namen zwar Leerzeichen, jedoch keine Dollar-Symbole verwenden.

    4. Geben Sie den Variablentyp und den Wert an, der bei der Ausführung der Abfrage verwendet werden soll.
    5. Geben Sie im Feld SQL den Namen der SQL-Variable ein, einschließlich der Dollar-Symbole, wo Sie sie verwenden möchten.

    Wenn Sie beispielsweise Dateipfad als Variablennamen eingeben, wird Name der SQL-Variable zu $$Dateipfad$$.

    Geben Sie $$Dateipfad$$ in das Feld SQL ein:

    SELECT * FROM processes
WHERE filepath = $$Dateipfad$$
  6. Klicken Sie auf Speichern.
    Die Abfrage wird in der von Ihnen angegebenen Kategorie gespeichert.

Abfrage ausführen

Gehen Sie wie folgt vor, um eine Abfrage auszuführen:

  1. Erweitern Sie Anfrage.
  2. Klicken Sie auf Abfrage ausführen.
    Die Abfrageergebnisse werden unterhalb des Abfragefelds angezeigt. Dies sind die Elemente, die die Abfrage auf den Geräten erkannt hat. Sie können die Ergebnisse in eine CSV-Datei exportieren.

    Die Telemetrie-Daten werden unter den Abfrageergebnissen angezeigt. Diese Daten geben Aufschluss darüber, wie erfolgreich die Abfrage beim Sammeln von Informationen bei jedem Gerät war. Zum Beispiel, wie lange es gedauert hat, die Informationen von jedem Gerät zu erhalten.

Wenn die Abfrage nicht mehr ausgeführt wird, stehen die vollständigen Abfrageergebnisse und Telemetrie-Daten zur Verfügung. Sie können auf einen Gerätenamen in einer der Listen klicken, um die Detailseite des Gerätes anzuzeigen.

Sie können die ausgewählten Geräte ändern oder die Abfrage bearbeiten, während sie ausgeführt wird.

Telemetrie

Unter Geräte-Telemetrie können Sie sehen, wie erfolgreich die Live Discover-Abfrage beim Sammeln von Informationen bei jedem Gerät war.

Klicken Sie auf Fortschritt, um auszuwählen, welche Telemetrie-Statustypen angezeigt werden sollen. Der Status gibt an, ob die Abfrage abgeschlossen ist und ob das Gerät Daten zurückgesendet hat.

Sie können auch Informationen über die Leistung der Abfrage und die Menge der generierten Daten anzeigen.

Einstellung

Beschreibung

Leistung

Zeigt an, welche Auswirkungen die Abfrage auf die Leistung des Gerätes hatte. Beispielsweise hat eine Abfrage, die schnell ausgeführt wird und wenig Daten generiert, wenig Auswirkungen und wird mit Hervorragend bewertet.

Daten XFR

Die Datenmenge, die von der Abfrage generiert wurde.

Um den Inhalt der Liste in eine CSV-Datei zu exportieren, klicken Sie auf Exportieren.