Live Discover

Mit Live Discover können Sie die von Sophos Central verwalteten Geräte überprüfen, nach Anzeichen einer Bedrohung suchen oder die Compliance bewerten.

Mit Live-Discover-Abfragen können Sie Geräte nach Anzeichen von Bedrohungen, die nicht von anderen Sophos-Funktionen erkannt wurden, durchsuchen. Ein Beispiel:

  • Ungewöhnliche Änderungen an der Registrierung.
  • Fehlgeschlagene Authentifizierungen.
  • Ein Prozess, der sehr selten ausgeführt wird.

Sie können Geräte auch nach Anzeichen einer vermuteten oder bekannten Bedrohung durchsuchen, wenn Sophos Central die Bedrohung an anderer Stelle gefunden hat oder wenn ein Benutzer verdächtiges Verhalten auf seinem Gerät meldet.

Sie können auch die Compliance jedes Gerätes überprüfen. Sie können beispielsweise nach veralteter Software oder Browsern mit unsicheren Einstellungen suchen.

Diese Seite bietet Anweisungen zu Live Discover. Sie können jedoch auch das Sophos XDR-Trainingabsolvieren.

Funktionsweise von Abfragen

Wir stellen Ihnen eine Reihe von Abfragen zur Verfügung, mit denen Sie Ihre Geräte überprüfen können. Sie können diese direkt einsetzen oder bearbeiten (osquery- oder SQL-Kenntnisse erforderlich). Sie können auch Abfragen erstellen.

Sie können Abfragen ausführen, um Informationen aus verschiedenen Quellen zu erhalten:

  • Endpoint-Abfragen erhalten die neuesten Informationen von Geräten, die derzeit verbunden sind.
  • Data Lake-Abfragen erhalten Informationen von einem Data Lake, in den Geräte ihre Daten regelmäßig hochladen. Sie können auch Informationen von anderen Sophos-Produkten erhalten, die Sie zum Senden von Daten an den Data Lake eingerichtet haben, z. B. Sophos Cloud Optix oder Sophos Email. Siehe Data-Lake-Abfragen.

Überprüfen Sie zunächst die Anforderungen und befolgen Sie dann die Schritte in den folgenden Abschnitten.

Geräte-Voraussetzungen

Wenn Sie Data-Lake-Abfragen verwenden möchten, müssen Sie Ihre Geräte aktivieren, um Daten auf den Data Lake hochzuladen.

Um das Hochladen von Daten auf Ihren Geräten einzurichten, gehen Sie wie folgt vor:

  1. Gehen Sie zu Übersicht > Globale Einstellungen.
  2. Klicken Sie unter Endpoint Protection (oder Server Protection für Server) auf Data-Lake-Uploads.
  3. Aktivieren Sie In den Data Lake hochladen.

Weitere Informationen finden Sie unter Data-Lake-Uploads.

Anforderungen für Sophos Cloud Optix

Einschränkung Diese Funktion ist unter Umständen noch nicht für alle Kunden verfügbar.

Wenn Sie Data Lake-Abfragen zu Daten aus Ihren Cloud-Umgebungen verwenden möchten, benötigen Sie eine Sophos Cloud Optix Advanced-Lizenz in Sophos Central und eine Intercept X-Lizenz, die Sophos XDR umfasst.

Sie müssen ein Superadmin in Sophos Cloud Optix sein, um „Data Lake“-Uploads aktivieren zu können.

Um „Data Lake“-Uploads zu aktivieren, gehen Sie wie folgt vor:

  1. Melden Sie sich in Sophos Cloud Optix an.
  2. Gehen Sie zu Settings > Advanced.
  3. Aktivieren Sie XDR Data Uploads.
    Sie können Aktivitätsprotokolldaten für bestimmte Cloud-Umgebungen oder alle Ihre Umgebungen hochladen.

Weitere Informationen zum Hochladen von Daten in den Data Lake finden Sie unter Data-Lake-Uploads.

Abfrage auswählen

Gehen Sie wie folgt vor, um eine vorbereitete Abfrage auszuwählen:

  1. Gehen Sie zu Übersicht > Bedrohungsanalyse-Center und klicken Sie auf Live Discover.
    Screenshot von Live Discover im Menü „Zentrale Verwaltung“
  2. Klicken Sie in Live Discover auf den Pfeil, um den Abschnitt Abfrage zu öffnen (falls er noch nicht geöffnet ist).

    Im Designer-Modus können Sie Abfragen bearbeiten oder erstellen. Sie müssen sie nicht aktivieren, wenn Sie unsere vorbereiteten Abfragen verwenden.

    Screenshot der Live-Discover-Seite
  3. Standardmäßig wird die Registerkarte Alle Abfragen angezeigt. Sie können auch auf die Registerkarte für den gewünschten Abfragetyp klicken:
    • Endpoint-Abfragen. Diese erhalten die neuesten Daten von den verbundenen Endpoints.
    • Data-Lake-Abfragen. Diese erhalten Daten von einem Data Lake, in den Endpoints ihre Daten regelmäßig hochladen.

    Sie sehen die verfügbaren Kategorien.

    Screenshot der Abfragekategorien
  4. Klicken Sie auf die Kategorie, die Sie verwenden möchten. Hier wird eine Liste der Abfragen in dieser Kategorie angezeigt.

    Systemauswirkung gibt den Einfluss der Abfrage auf die Geräteleistung. Der Wert basiert auf der aktuellen Verwendung der Abfrage.

    Screenshot der Liste der Abfragen
  5. Filtern oder durchsuchen Sie die Abfragen, wenn Sie die Liste kürzen möchten.
  6. Klicken Sie auf die Abfrage, die Sie ausführen möchten.
    Screenshot einer ausgewählten Abfrage

Die Abfrage wird angezeigt, einschließlich der unterstützten Betriebssysteme und Leistungsdaten.

Tipp Legen Sie für Abfragen, mit denen Sie einen Zeitraum angeben können (zum Beispiel Abfragen, die in Event Journals ausgeführt werden), einen kurzen Zeitraum fest, um zu vermeiden, dass Abfragen langsam ausgeführt werden oder zu viele Daten generieren.

Geräte für die Abfrage auswählen

Wenn Sie eine Endpoint-Abfrage ausgewählt haben, wählen Sie die Geräte aus, die Sie abfragen möchten.

Wenn Sie eine Data Lake-Abfrage ausgewählt haben, müssen Sie keine Geräte auswählen. Alle Geräte sind immer im Lieferumfang enthalten. Überspringen Sie diesen Abschnitt.

  1. Klicken Sie in Live Discover auf den Pfeil, um Geräte-Kennzeichner zu erweitern.

    Verfügbare Geräte zeigt alle Computer und Server an, die von Sophos Central verwaltet werden.

    Screenshot der Geräteauswahl
  2. Filtern Sie unter Verfügbare Geräte die angezeigten Geräte. Möglicherweise möchten Sie etwa Geräte mit einem bestimmten Betriebssystem abfragen. Klicken Sie auf Anwenden.

    Sie müssen keine exakte Übereinstimmung eingeben und bei den Filtern wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Screenshot der Filter
  3. Wählen Sie die Geräte aus, die Sie abfragen möchten, und klicken Sie auf Liste der ausgewählten Geräte aktualisieren.

    Dadurch werden die Geräte zu einer Liste in der Registerkarte Ausgewählte Geräte hinzugefügt, in der Sie sie einfach verwalten können.

    Screenshot der ausgewählten Geräte
  4. Optional Wenn Sie die Liste weiter verfeinern möchten, können Sie die ausgewählten Geräte filtern oder die Auswahl der Geräte aufheben. Klicken Sie hierzu auf Ausgewählte Geräte und verfahren Sie wie folgt:
    • Klicken Sie auf Filter anzeigen. Filtern Sie die ausgewählten Geräte.
    • Heben Sie die Auswahl von Geräten auf und klicken Sie auf Liste der ausgewählten Geräte aktualisieren.

Abfrage ausführen

Wenn Sie die Abfrage eingerichtet haben, können Sie sie ausführen.

Sie können bis zu vier Abfragen auf Geräten gleichzeitig ausführen.

Anmerkung Sie können die ausgewählten Geräte ändern oder die Abfrage bearbeiten, während sie ausgeführt wird.

Gehen Sie wie folgt vor, um eine Abfrage auszuführen:

  1. Klicken Sie unten auf der Seite Live Discover auf Abfrage ausführen.
    Screenshot der Schaltfläche „Abfrage ausführen“
  2. Wenn Sie die Abfrage noch nicht ausgeführt haben, wird in einer Meldung empfohlen, sie auf einem Gerät auszuführen, um sie zu testen. Gehen Sie zurück, um die ausgewählten Geräte zu bearbeiten, oder klicken Sie auf Abfrage ausführen, um fortzufahren.
    Screenshot einer Warnung zu einer nicht getesteten Abfrage
  3. Wenn die Abfrage nicht mehr ausgeführt wird, wird das Fenster mit den Abfrageergebnissen angezeigt. Angezeigt wird:
    • Zu jedem Gerät gefundene Elemente.
    • Neue Abfragen oder Aktionen, die auf Elementen in den Ergebnissen basieren können. Klicken Sie auf ein Auslassungssymbol Auslassungssymbol, um die Optionen anzuzeigen.
    • Telemetrie des Geräts (unter den Ergebnissen). Dies sind Informationen über die Geschwindigkeit der Abfrage und wie viele Daten sie generiert. Mehr dazu erfahren Sie unter Live Discover-Telemetrie.
    Screenshot der Abfrageergebnisse

    Sie sehen eine Sophos-PID für Prozesse. Dies ist eine eindeutige Prozess-ID. Wir verwenden sie nicht erneut, so dass darauf basierende Abfragen nicht unerwünschte Ergebnisse zu älteren Prozessen generieren.

Sie können festlegen, dass einige Abfragen zu festgelegten Zeiten ausgeführt werden sollen (nur Data-Lake-Abfragen). Siehe Abfragen planen.

Um weitere Analysen auszuführen, können Sie Abfragen basierend auf den Ergebnissen ausführen. Siehe Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen.

Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen

Sie können Ihre Abfrageergebnisse als Grundlage für zusätzliche Abfragen verwenden, die sich auf potenzielle Bedrohungen konzentrieren.

In der Ergebnistabelle sehen Sie neben einigen Elementen ein Auslassungssymbol. Screenshot des Auslassungssymbols

Klicken Sie auf das Symbol, um die verfügbaren Aktionen zu sehen:

  • Abfragen. Mit solchen „Pivot-Abfragen“ können Sie schnell eine neue Abfrage basierend auf dem ausgewählten Element ausführen. Ein Beispiel für ihre Verwendung finden Sie unter Pivot-Abfragen.
  • Anreicherungen. Diese öffnen Websites von Drittanbietern wie VirusTotal oder IP Abuse DB, um Informationen über eine potenzielle Bedrohung zu finden, die Sie gefunden haben.
  • Aktionen. Bieten weitere Erkennung oder Bereinigung. Sie können beispielsweise einen Bedrohungsfall erstellen, um eine detaillierte Analyse eines Vorfalls zu erhalten, oder Live Response starten, um auf einen Computer zuzugreifen und ihn zu untersuchen.

Sie können bestimmte Pivot-Einstellungen anpassen. Siehe Benutzerdefinierte Pivot-Optionen.